Комментарии 61
Hello! This is a non-working system and has not been used by Aeroflot for many years. It does not contain any relevant data of Aeroflot Bonus program clients or documents that would be used by our airline. *MM
Так зачем же смущать товарищей.
has not been used by Aeroflot for many years.
Бинарники python3.6. В зависимостях версии пакетов с датой релиза декабрь 2017 — январь 2018…
Ну-ну… годами прям не использовали.
has not been used by Aeroflot for many years
может и не использовался, но регулярно обновлялся зачем-то. Нетщательный ресерч показал даты изменения файлов от мая 2017 до августа 2018.
Исследователь, опубликовавший исходники, надеется, что компания «Аэрофлот» начнёт уделять больше внимания информационной безопасности.
Аэрофлоту надо найти товарища и выдать подарочный сертификат на год.
Есть многое в природе, друг Горацио,
Что и не снилось нашим мудрецам.
Вильям Шекспир.
Зачастую компании тратят огромные средства на обеспечение защиты от внешних киберугроз. В то же время сегодня первостепенное значение имеют превентивные меры и более жесткая политики и регламенты ИБ, направленные на противодействие атакам» изнутри». И банковский сектор здесь не является исключением.
Денис Дубцов
И.О. руководителя Центра компетенций информационной безопасности ГК «РАМАКС»
Нет, не странно. Очень
afl-staging.test.aeroflot.ru/ru-ru/test0410_1
https://github.com/aeroflotsrc/webapp
Уже кто-то выложил на github. Главное чтобы из-за этого, его(github) РКН не заблокировал.
А то Аэрофлот компания гос, защита у них одна: запретить и закрыть, чем признать свою вину и исправить.
Уже кто-то выложил на github
с этой ссылки начинается пост)
За'Star'ил? Fork'нул? В тюрьму!
Романтика!
А в чем, собственно, беда-то такая? Вот если бы данные пользователей утекли… А так — АФЛ мог бы вообще в open source выложить при желании. В чем угроза безопасности чего-либо?
Ну так можно весь open source заклеймить, начиная с Линукса. Security through obscurity — вещь слабая… А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорее.
Ну так можно весь open source заклеймить, начиная с Линукса.в случае linux исходники, благодаря их открытости, большому сообществу, обратной связи, находятся под постоянным аудитом.
А вот то, что инфраструктура оказалась устойчива к такой вещи — это в плюс компании скорееуспешная атака совсем необязательно будет(была) публичной.
Она оказалось устойчива ровно потому, что ничего секретного в коде не оказалось. То есть система написана так, чтобы быть к такому устойчивой. Это не значит, что ее взломать невозможно, конечно, но это другая атака.
Я и не утверждаю что там решето и пароли в конфигах. Я лишь высказываю мнение что слитые исходники заметно повышают шансы на взлом.
Ну дык я о чем — а могли бы вполне быть пароли в конфигах, это сплошь и рядом в корпоративном софте. И то, что их нет, что вполне себе соблюдаются best practices, и что система выдержала такой стресс-тест своеобразный — это имхо в плюс.
Я не знаю, была ли атака на работающую систему в смысле взлома и не утверждаю, что ее не было. Я утверждаю, что слив исходников — это тоже в некотором смысле атака, и вот к ней всё оказалось устойчиво.
1. Посмотрите код. Если пару дней в нем покопаться можно нарисовать все веб-приложения, задействованные базы и настройки всех сервисов.
2. Банально, вы можете узнать все точные версии софта (если верить не только версиям софта но и датам модификации файлов, та дамп не старше недели). Вполне может быть, что есть что-то подверженное удаленной эксплуатации, и видя код атаковать намного проще.
3. Вполне возможно, что слили чтобы создать хаос и кинуть на аэрофлот армию анонимусов. Может уже все, что нужно слили…
Клиент телеграма, скажем — тоже конкретная система, использующая конкретные версии конкретного софта. Что не делает его менее секурным, а скорее даже и более.
Да, открытость влечет за собой некие риски, но почему-то бытует убеждение (и не без оснований), что в итоге безопасность выше получается — и непонятно, почему эту же логику к аэрофлоту не применить.
Угроза в том, что можно сбыло слать свои патчи в эро-флотский продакшн и если у них CI настроено, в теории это полный контроль над юзерскими данными, которые они вводят. Ой-ой…
С чего вы взяли, что можно? Выложили копию исходников… Если можно — то да, это треш, но откуда это известно-то?
Я нигде не видел, чтобы был доступ на запись… И тем более на выкладку на продакшен. То есть непонятно а) можно было ли залить свой образ, и б) если можно — почему он бы отдеплоился вдруг. Что-то мне кажется, если было бы можно, об этом бы тоже написали.
В данном же случае сервис торчал без какой-либо аутентификации наружу. То есть, с крайне высокой вероятностью push образа также можно было туда сделать.
Единственное что значительно менее вероятно — так это то, что именно по пушу нового образа запускался деплой. Обычно он инициируется по коммиту/тегу в VCS. А сам Docker Registry работает внутри контейнера, ничего не триггерит и является лишь хранилищем образов.
Вот если бы данные пользователей утекли…
Там в папках спокойно валяются дампы джанги в json. С паролями, емейлами, именами.
• Все что касается работы системы Аэрофлот-Бонус отдано на откуп сторонней компании.
• Для получения бонусов/накопления/списания нужно знать 4 уникальных идентификатора, адрес сервера и получить сертификат от этой компании.
• Идентификаторы и сертификаты уникальны для каждой точки.
Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки.
Весь прикол ещё в том, что файлы ДОСТУПНЫ ДЛЯ РАДАКТИРОВАНИЯ.
Скорее всего это была попытка перевести Аэрофлот на opensource.
«Аэрофлот идёт в opensource! Первый шаг сделан.»
Публикации
Утечка исходных кодов веб-сервисов «Аэрофлота»