Произошла утечка данных из транспортной компании FESCO

Произошла утечка данных из транспортной компании FESCO

Более 400 тысяч адресов электронной почты и 160 тысяч телефонных номеров, а также 1200 пар логин-пароль для доступа в личные кабинеты клиентов крупнейшей транспортной компании Fesco оказались в открытом доступе.

Утром 22.05.2019 система DeviceLock Data Breach Intelligence обнаружила в открытом доступе сервер Elasticsearch с индексами, содержащими данные компании FESCO.

На момент обнаружения суммарный размер этих индексов превышал 52 Гб.

Анализ показал, что логи принадлежат специализированному программному продукту CyberLines, а сам сервер Elasticsearch с большой долей вероятности содержит данные компании FESCO:

«settings»: «{\»description\»:\»Киберлайнз\»,\»url\»:\»msk-sql04.hq.fesco.com\»,\»user\»:\»personal_area\»,\»options\»:{\»appName\»:\»my.fesco.ru\»,\»debug\»:1,\»port\»:1433,\»database\»:\»Cyberlines\»,\»requestTimeout\»:45000},\»poolConfig\»:{\»min\»:2,\»max\»:4,\»log\»:false}}»

По данным Shodan, впервые данный Elasticsearch оказался в свободном доступе 05.03.2018.

В логах системы содержалось (все данные – оценочные, дубли из подсчетов не удалялись, поэтому объем реальной утекшей информации скорее всего меньше):

  • более 400 тыс. записей, содержащих адреса электронной почты;
  • более 160 тыс. записей, содержащих номера телефонов;
  • более 1200 записей, содержащих пары логин/пароль (в текстовом виде) для портала my.fesco.com;
  • несколько тысяч записей с паспортными данными;
  • сотни тысяч записей с номерами инвойсов, заявок, отправлений и т.п. информацией.

В личных кабинетах клиентов FESCO на портале my.fesco.com содержались сканы таможенных деклараций, счетов-фактур и актов с печатями. Все это можно было выгрузить в виде архивов, содержащих PDF-файлы.

Документ клиента FESCO, доступ к которому предоставлял открытый сервер Elasticsearch с логами программного продукта CyberLines.
Документ клиента FESCO, доступ к которому предоставлял открытый сервер Elasticsearch с логами программного продукта CyberLines.

Логины и пароли (более 1200) к порталу my.fesco.com хранились в открытом виде:

«message»:»cyberlines/user: login({context: ‘jEErJ1Nzm-tU’, usernameOrEmail: ‘[email protected]’, password: ‘XXXX’}) ok in 38 ms'»,»gl2_source_input»:»5cd233972ab79c0001580ab2″,»args»:»{\»context\»:\»jEErJ1Nzm-tU\»,\»usernameOrEmail\»:\»[email protected]\»,\»password\»:\»XXX \»}»,»duration»:38,»node»:»myfesco.prod.my»,»service»:»cyberlines/user»

Личный кабинет клиента FESCO, логин и пароль к которому находились в открытом виде в логах ИС
Личный кабинет клиента FESCO, логин и пароль к которому находились в открытом виде в логах ИС

Сервер пропал из свободного доступа через 30 минут после информирования компании FESCO и CyberLines.

Телеграм-канал “Утечки информации