Всем привет!
Что произошло как так случилось кто виноват?
Первый раз повышенный интерес появился 02-12-2022 товарищ зарегался и начали выполнять подозрительные действия (изначально на л2глобал), в целом сложилось впечатление, что попытки были и за пару месяцев до этого и работал не один спец по поиску уязвимости, перерыл практически все варианты на xss, sql inject и просто ломая логику обработки данных, но все это максимум приводило к 500 ошибки из которой он видел белый экран, после он решил сменить тактику так как все попытки что-то залить и как, то подменить данные в запросе на вайп данных в ммовеб, я периодически за ним наблюдал и лочил его учетку после пары дней он снова возвращался и продолжал.
03-12-2022
шаг 1: добрался до функционала смены емайла профилю - и это была его победа он смекнул что логи по профилям подтягиваются по емайлу (совокупность недоработке смены емайла без проверки на дубликат и отображение логов действий по емайлу)
шаг 2: подставил почту мастер аккаунта и получил доступ к списку всех клиентов из которых он вытянул все емалы админов которые использовали один и тот же емаил для проекта и учетной записи (бага открытия панели админа была опять же таки в проверке на емаил)
шаг 3: он накидал скрипт смены емайлов профиля и открытия страницы с логами где успешно получал последние 100 логово пользователя, но скрипт слишком быстро выполнял запросы и положил базу перебрав около 80% клиентов. в этот момент я понял что он, делал и как делал. Быстро исправив эту проблему ребутнули базу, но как говорится поздно пить боржоми когда логи слили.
Проблема логов была в том что именно логи персонального профиля, которые он воровал, ни как не фильтровались перед показом(это исправили) и он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов, оценив ситуацию было принято сбросить всем пароли и сессии от ммовеб после чего сесть и обдумать риски.
15-12-2022
Было решено сменить все главные апи ключ, но проблема образовалась, что не было центра лизированного канала оповещения и ленью администраторов, акция по сменам затянулась или вовсе проигнорировалась, но наш спец не спал и имея на руках ключи имел доступ к загрузке конфигов на клиентскую часть чем он и воспользовался, поломав синтаксис залил вместе с конфигом
думаю объяснять не стоит что это дает, первым потерпевшим с шелом был л2декс которому он залил админер и пошел по списку имеющаяся гейм серверов для проверки конекта, и к сожалению у пары клиентов база и рутовый доступ небыли настроены на ип ммовеб и смотрели в интернет, он успешно слил и вайпнул базу - урон не велик базы поднялись из бекапов, в этот же день он заглянул на огонь к валхалле которая была предупреждена в первый же день инцидента о проблеме, но так как они стоят отдельно от ммовеб доступа к ним мы не имели, он там успел тоже вайпнуть базу проекта через функционал админки вошел он под логином и паролем который лежали еще с момента когда валхала пользовалась ммовебом.
После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было.
31-01-2023
Эпопея с платежкой:
После того как все вроде поутихло и он исчерпал все возможности украденных данных, как мы думали, тут возникла ситуация. 31го января клиенты одной платежной системы все массово поставили свои деньги на вывод. Но так как их было много и все они были на крипту платежка не торопилась их выводить. 1го февраля мне сообщают о ситуации, что через апи платежки деньги поставили на вывод. тут все стало понятно наш спец добрался до них, изначально даже не рассматривали такую возможность так как в 99% это требовало сторонних дополнительных ключей и доступов, либо вовсе отсутствовало, на примере этой платежки достаточно было тех ключей которые и создают платежи на оплату. Мною был собран список из 98 проектов которые пользовались этой пп и дано разъяснения суппорту этой пп после чего они заверили что выплаты все отменили и счета заморожены. К сожалению у одного из проектов 20тр уже успело уйти на благотворительные нужды жителей донбасса, Робин гуд видимо, а второго числа мне пишет второй проект, которому потвердели выплату на большую сумму, на крипту. Насчет спеца пп, она в ручном режиме, зная о проблеме дала апрув на вывод средств.
Конечно такое мало-уязвимо. Но открыть проект с таким функционалом изначально не прибыльное занятие. В ЛК все же функции должны быть все привычные за годы, и функции администрирования для избегания гемороя при командах больше 1 человека.
