Дисклеймер:
Данной пост не содержит технических подробностей и не является описанием взлома.
tl;dr: На сайте, запущенном мэрией Новосибирска обнаружилась проблема (вероятно с кэшированием), позволяющая неавторизованному пользователю получить персональные данные пользователей сайта (включая номер мобильного телефона и возможный адрес). Спустя час после обнаружения, проблема перестала воспроизводится. Местным интернет-сми пофиг. Техподдержка сайта молчит. Cпустя день, неизвестно, исправлена ли проблема и оповещены ли пользователи о её существовании.
Таймлайн
19 марта. Утро.
Пресс-служба мэрии г.Новосибирска рассылает пресс-релиз «Об отключении воды или света можно узнать через SMS»
19 марта 2013 г.
Информацию подготовила: Наталья Халина, 227-41-29.
По сообщению департамента связи и информатизации мэрии, у новосибирцев появилась возможность с помощью сервиса «Мой Новосибирск» map.novo-sibirsk.ru своевременно узнавать об отключениях воды, тепла, газа и электроэнергии.
Чтобы подписаться на услугу оповещения об отключениях систем жизнеобеспечения через SMS или e-mail, необходимо пройти регистрацию в личном кабинете (http://map.novo-sibirsk.ru/ClientWebConsole/), указав свой адрес проживания (или адреса родственников, школы, детского сада и т.д.), и установить отметку об информировании при отключениях.
Как только указанный адрес будет внесен диспетчером в информационную систему мэрии, пользователь сразу же получит сообщение. При этом информация будет дублироваться и в момент начала отключения, и в момент окончания.
12:24
Новость, написанная по этому пресс-релизу появляется на Сиб.фм (Небольшой новостной сайтик — по 3 тысячи фолловеров в Фейсбуке и Твиттере, 4 — Вконтакте).
12:54
Ещё одна новость появляется на НГС (Сами они себя называют «крупнейшим городским порталом в России»).
12:55
Новость на сиб.фм читает мой знакомый и кидает мне ссылку на веб-сервис через IM.
13:00
Открыв сайт, я вижу замечательное в верхнем правом углу: Здравствуйте, mnweb [Выход]
.
После обновления страницы я вижу другой, более стандартный текст: «[Вход]
». Не обращаю на это особого внимания.
13:05
Неспешно пытаюсь пройти регистрацию, ругаясь на абсолютно дурацкие требования. Понимаю, что без указания номера телефона этот сайт мне не откроется. Тыкаю по ссылкам в поисках FAQ,
Снова замечаю в верхнем правом углу вместо текста [Вход]
, примерно вот это: Здравствуйте, Андрей4500 [Выход]
Тут до меня доходит, что сайт явно показывает мне то, что не должен. Тыкаю по ссылке «Мои регистрационные параметры» — вижу форму авторизации. Несколько раз обновляю страницу.
Ещё несколько обновлений и я вижу другой профиль.
13:10
К этому времени я получаю подтверждение от знакомого о том, что он тоже может воспроизвести проблему и получить данные чужого профиля. С этого момента и до 14:00 проблема остаётся активной.
13:14
Быстро пишу письмо на адрес «техподдержки портала». Других контактных данных на сайте нет.
subject: Проблемы с безопасностью «Личного кабинета»
Здравствуйте,
При открытии map.novo-sibirsk.ru/ClientWebConsole/Parameters.aspx отображаются чужие регистрационные данные. При обновлении страницы они меняются.
Похоже, у вас серьёзные проблемы с безопасностью.
13:15
Получают ответ от робота: Ваше сообщение принято. Спасибо за информацию
.
Больше писем от них получено не было.
13:31
Понимая, что оперативного ответа я не получу, пишу письмо в редакцию НГС (news@ngs.ru) с кратким описанием проблемы и просьбой временно скрыть материал. Дублирую через систему сообщения об опечатках.
subject: Сервис SMS-оповщений мэрии позволяет без авторизации просматривать данные других пользователей
Касаемо новости: Мэрия предложила горожанам получать SMS об отключениях воды и света (http://news.ngs.ru/more/1039547/)
В данный момент при открытии map.novo-sibirsk.ru/ClientWebConsole/Parameters.aspx отображается чужой профиль пользователя (включая личные данные). После обновления они меняются Я думаю вам нужно убрать материал, пока мэрия не отреагирует на проблему, т.к. сейчас кто угодно может собрать персональные данные сотни пользователей, что захотят «протестировать сервис».
13:34
Ещё одно письмо уходит в Сиб.фм (fm@sib.fm). На данный момент только эти два источника отображается в поиске Яндекс.Новостей.
13:42
Нахожу новость на Тайга.инфо (Уникальных посетителей в день: 10 000 — 12 000) и отправляю им аналогичное письмо (info@taygainfo.ru).
14:00
Проблема больше не воспроизводится.
Подводя итог
Я не могу сказать, в чём технически заключалась проблема. Скорее всего, неправильно настроенное кэширование.
Сейчас, спустя день, о том, что проблема имела место быть нигде не написано.
Ни одно из СМИ не скрывало материал и не связалось со мной для уточнения подробностей.
Позже днём было отправлено сообщение в «техподдержку портала» с простым вопросом, ответа на него не последовало. Вероятно, эту почту никто не читает.
Я не знаю, сохраняется ли проблема на данный момент или она была исправлена. Не исключаю, что проблема не воспроизводится из-за спада посещаемости и фактически её всё ещё можно воспроизвести.
Я не знаю, но сомневаюсь, что все пользователи портала получили оповещение о том, что их данные были скомпрометированы. Если кто-то из журналистов захочет это проверить, напишите — у меня сохранилось несколько скриншотов, с номерами телефонов.
Автор: sust