Взлом API (primepayments.ru) mmoweb.biz / demort

Ты в скайп отправлял обновы месяц примерно назад, оно фиксило этот эксплоит ?
e0385593d67ea2106d6c873db7617861.png

Так же хотелось узнать твой статус на проекте - ты разраб или ревювер или каков твой статус в данным момент ?
 

Ты в скайп отправлял обновы месяц примерно назад, оно фиксило этот эксплоит ?
Посмотреть вложение 47776

Так же хотелось узнать твой статус на проекте - ты разраб или ревювер или каков твой статус в данным момент ?
На 1 вопрос если ты внимательно читал дан ответ . Там даже число написано .

"После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было."
 
Demort, тебе пока уже полноценньй serverless сделать)

P.S. удачи в фиксах)
 
На 1 вопрос если ты внимательно читал дан ответ . Там даже число написано .

"После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было."
Мб я что-то упустил, можно цитату, тоже этот вопрос беспокоит
 
Всем привет!

Что произошло как так случилось кто виноват?

Первый раз повышенный интерес появился 02-12-2022 товарищ зарегался и начали выполнять подозрительные действия (изначально на л2глобал), в целом сложилось впечатление, что попытки были и за пару месяцев до этого и работал не один спец по поиску уязвимости, перерыл практически все варианты на xss, sql inject и просто ломая логику обработки данных, но все это максимум приводило к 500 ошибки из которой он видел белый экран, после он решил сменить тактику так как все попытки что-то залить и как, то подменить данные в запросе на вайп данных в ммовеб, я периодически за ним наблюдал и лочил его учетку после пары дней он снова возвращался и продолжал.

03-12-2022
шаг 1: добрался до функционала смены емайла профилю - и это была его победа он смекнул что логи по профилям подтягиваются по емайлу (совокупность недоработке смены емайла без проверки на дубликат и отображение логов действий по емайлу)
шаг 2: подставил почту мастер аккаунта и получил доступ к списку всех клиентов из которых он вытянул все емалы админов которые использовали один и тот же емаил для проекта и учетной записи (бага открытия панели админа была опять же таки в проверке на емаил)
шаг 3: он накидал скрипт смены емайлов профиля и открытия страницы с логами где успешно получал последние 100 логово пользователя, но скрипт слишком быстро выполнял запросы и положил базу перебрав около 80% клиентов. в этот момент я понял что он, делал и как делал. Быстро исправив эту проблему ребутнули базу, но как говорится поздно пить боржоми когда логи слили.
Проблема логов была в том что именно логи персонального профиля, которые он воровал, ни как не фильтровались перед показом(это исправили) и он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов, оценив ситуацию было принято сбросить всем пароли и сессии от ммовеб после чего сесть и обдумать риски.

15-12-2022
Было решено сменить все главные апи ключ, но проблема образовалась, что не было центра лизированного канала оповещения и ленью администраторов, акция по сменам затянулась или вовсе проигнорировалась, но наш спец не спал и имея на руках ключи имел доступ к загрузке конфигов на клиентскую часть чем он и воспользовался, поломав синтаксис залил вместе с конфигом

думаю объяснять не стоит что это дает, первым потерпевшим с шелом был л2декс которому он залил админер и пошел по списку имеющаяся гейм серверов для проверки конекта, и к сожалению у пары клиентов база и рутовый доступ небыли настроены на ип ммовеб и смотрели в интернет, он успешно слил и вайпнул базу - урон не велик базы поднялись из бекапов, в этот же день он заглянул на огонь к валхалле которая была предупреждена в первый же день инцидента о проблеме, но так как они стоят отдельно от ммовеб доступа к ним мы не имели, он там успел тоже вайпнуть базу проекта через функционал админки вошел он под логином и паролем который лежали еще с момента когда валхала пользовалась ммовебом.


После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было.


31-01-2023
Эпопея с платежкой:
После того как все вроде поутихло и он исчерпал все возможности украденных данных, как мы думали, тут возникла ситуация. 31го января клиенты одной платежной системы все массово поставили свои деньги на вывод. Но так как их было много и все они были на крипту платежка не торопилась их выводить. 1го февраля мне сообщают о ситуации, что через апи платежки деньги поставили на вывод. тут все стало понятно наш спец добрался до них, изначально даже не рассматривали такую возможность так как в 99% это требовало сторонних дополнительных ключей и доступов, либо вовсе отсутствовало, на примере этой платежки достаточно было тех ключей которые и создают платежи на оплату. Мною был собран список из 98 проектов которые пользовались этой пп и дано разъяснения суппорту этой пп после чего они заверили что выплаты все отменили и счета заморожены. К сожалению у одного из проектов 20тр уже успело уйти на благотворительные нужды жителей донбасса, Робин гуд видимо, а второго числа мне пишет второй проект, которому потвердели выплату на большую сумму, на крипту. Насчет спеца пп, она в ручном режиме, зная о проблеме дала апрув на вывод средств.
Читаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?
Тут дело даже не в скаме бабла (это проблема платежки, которая принимает запрос на вывод через апи), а в том, что данная ситуация повторится, и не один раз.
 
Читаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?
Тут дело даже не в скаме бабла (это проблема платежки, которая принимает запрос на вывод через апи), а в том, что данная ситуация повторится, и не один раз.
Вывод? Правильно подбирать платежные системы? Или удалить л2 с компа )))
 
Вывод? Правильно подбирать платежные системы? Или удалить л2 с компа )))
Читаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?
Тут дело даже не в скаме бабла (это проблема платежки, которая принимает запрос на вывод через апи), а в том, что данная ситуация повторится, и не один раз.
Подскажите, а что и где нормально написано ;)
 
А еглобал чем ломанули
еще какая-то хрень в ммовэб намечается
или они свои косяки курят?
 
Обычная трактовка ;) "Поломают сессию" = "Перехватят сессию"?, в чем разница трактовки, любым методом и не обязательно речь о куках.
Сбрутфорсируйте хеш лучше звучит, чем "расшифруйте-найдите"?
И если что про Л2 ПТС хеши, можно и "расшифруйте", учитывая уязвимость родных ncsoft хешей.
Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.
 
Те эта вонючая платежка может по не подтвержденным реквизитам выводить куда угодно? Модерацию контрагентов видимо придумали идиоты. Какой вообще придурок придумал делать публичные апи методы на вывод. Jwt и впйтлисты видимо тоже придумали идиоты
 
Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.
ну как минимум можно проверить страну пользователя, есть 2FA, много всяких плюх есть, fingerprint-ы всякие, время жизни сессии...
 
Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.
Тут главная проблема, что не украли сессию, а что получили доступ к логам)
И опять же, главная проблема не в том, что получили доступ к логам, а в том что в логах бьіло - "он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов"

цмс уже не первьій год, а все еще работает в дев режиме где трекает все запросьі)


ну как минимум можно проверить страну пользователя, есть 2FA, много всяких плюх есть, fingerprint-ы всякие, время жизни сессии...
Єто же цмс для л2, тут за такие слова тебя могут сжечь)
Тут все реквести трекаются)



Оффтоп:

После ситуации с логами, меня не переубедить что на сервере ммовеба не сохраняються пароли все в чистом виде)
Не, ну а что... щас л2 умрет, можно будет стим побрутить)
 
  • Мне нравится
Реакции: kick
Легко, дальше сами




 
Всем привет!

Что произошло как так случилось кто виноват?

Первый раз повышенный интерес появился 02-12-2022 товарищ зарегался и начали выполнять подозрительные действия (изначально на л2глобал), в целом сложилось впечатление, что попытки были и за пару месяцев до этого и работал не один спец по поиску уязвимости, перерыл практически все варианты на xss, sql inject и просто ломая логику обработки данных, но все это максимум приводило к 500 ошибки из которой он видел белый экран, после он решил сменить тактику так как все попытки что-то залить и как, то подменить данные в запросе на вайп данных в ммовеб, я периодически за ним наблюдал и лочил его учетку после пары дней он снова возвращался и продолжал.

03-12-2022
шаг 1: добрался до функционала смены емайла профилю - и это была его победа он смекнул что логи по профилям подтягиваются по емайлу (совокупность недоработке смены емайла без проверки на дубликат и отображение логов действий по емайлу)
шаг 2: подставил почту мастер аккаунта и получил доступ к списку всех клиентов из которых он вытянул все емалы админов которые использовали один и тот же емаил для проекта и учетной записи (бага открытия панели админа была опять же таки в проверке на емаил)
шаг 3: он накидал скрипт смены емайлов профиля и открытия страницы с логами где успешно получал последние 100 логово пользователя, но скрипт слишком быстро выполнял запросы и положил базу перебрав около 80% клиентов. в этот момент я понял что он, делал и как делал. Быстро исправив эту проблему ребутнули базу, но как говорится поздно пить боржоми когда логи слили.
Проблема логов была в том что именно логи персонального профиля, которые он воровал, ни как не фильтровались перед показом(это исправили) и он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов, оценив ситуацию было принято сбросить всем пароли и сессии от ммовеб после чего сесть и обдумать риски.

15-12-2022
Было решено сменить все главные апи ключ, но проблема образовалась, что не было центра лизированного канала оповещения и ленью администраторов, акция по сменам затянулась или вовсе проигнорировалась, но наш спец не спал и имея на руках ключи имел доступ к загрузке конфигов на клиентскую часть чем он и воспользовался, поломав синтаксис залил вместе с конфигом

думаю объяснять не стоит что это дает, первым потерпевшим с шелом был л2декс которому он залил админер и пошел по списку имеющаяся гейм серверов для проверки конекта, и к сожалению у пары клиентов база и рутовый доступ небыли настроены на ип ммовеб и смотрели в интернет, он успешно слил и вайпнул базу - урон не велик базы поднялись из бекапов, в этот же день он заглянул на огонь к валхалле которая была предупреждена в первый же день инцидента о проблеме, но так как они стоят отдельно от ммовеб доступа к ним мы не имели, он там успел тоже вайпнуть базу проекта через функционал админки вошел он под логином и паролем который лежали еще с момента когда валхала пользовалась ммовебом.


После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было.


31-01-2023
Эпопея с платежкой:
После того как все вроде поутихло и он исчерпал все возможности украденных данных, как мы думали, тут возникла ситуация. 31го января клиенты одной платежной системы все массово поставили свои деньги на вывод. Но так как их было много и все они были на крипту платежка не торопилась их выводить. 1го февраля мне сообщают о ситуации, что через апи платежки деньги поставили на вывод. тут все стало понятно наш спец добрался до них, изначально даже не рассматривали такую возможность так как в 99% это требовало сторонних дополнительных ключей и доступов, либо вовсе отсутствовало, на примере этой платежки достаточно было тех ключей которые и создают платежи на оплату. Мною был собран список из 98 проектов которые пользовались этой пп и дано разъяснения суппорту этой пп после чего они заверили что выплаты все отменили и счета заморожены. К сожалению у одного из проектов 20тр уже успело уйти на благотворительные нужды жителей донбасса, Робин гуд видимо, а второго числа мне пишет второй проект, которому потвердели выплату на большую сумму, на крипту. Насчет спеца пп, она в ручном режиме, зная о проблеме дала апрув на вывод средств.
Во время мы тебя оповестили :)
 
Легко, дальше сами




Вобще не в тему Secrets Manager, Cognito да но Secrets Manager не туда
 
Назад
Сверху Снизу