Нас взломали: часть данных заказов билетов
Вчера в 3 ночи был сформирован файл с, предположительно, дампом заказов билетов автобусов, сделанных через наш сайт tutu.ru, там 2,5 миллиона строк технических неочищенных данных (в том числе с повторами). Там номера заказов, имена пассажиров и почты. Платёжных данных и данных о маршрутах в дампе нет. Сегодня в обед украинские хакерские телеграм-каналы сообщили, что осуществлён взлом в качестве «ответки за Новую Почту». Дальше информация про взлом стала распространяться через СМИ.
Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека.
Произошло следующее: с 24 февраля мы вошли в списки целей для атак в хакерски и краудхакерских группах. Сначала нас банально дидосили, потом небанально дидосили, после чего хакерам удалось на короткий промежуток времени уронить сайт РЖД (фронты, но не АСУ Экспресс), и мы стали целью №1, потому что продолжали выписывать билеты. Положить нас тогда так и не удалось. С тех пор продолжаются и волны DDoS, и атаки на почту и другие типы направленных атак.
Основные версии утечки:
- Сопоставление данных пользователей с утечками крупных сервисов вроде Яндекса, Деливери, Пикабу и взломов почт. Похоже, что нет, в таблице есть технические учётные записи.
- Один из внешних технических контрагентов, связанных с эквайрингом.
- Собственные разработчики или члены инфраструктурной команды. Эту версию нельзя исключать никогда ни на каком проекте ни при каких условиях.
- Направленная атака на неизвестный нам баг.
Теперь детали про расследование.
Что утекло
На текущий момент в анонсе хакеров три таблицы. В них, предположительно, заказы на разные виды транспорта. Судя по анализу той таблицы, к которой мы получили доступ, это заказы за последние два месяца по одному продукту (автобусам), плюс точечно заказы за пределами этого срока.
Ещё раз: платёжные данные не утекли. Маршруты (конечные-начальные пункты) не утекли.
Это далеко не полная база, объём — менее процента от общего объёма заказов.
Что мы делаем сейчас
Первое — если не сработали, скажем так, мониториговые части контура, нужно на низком уровне найти поток данных, который мог привести к утечке. Инфраструктурная команда сразу же начала разбирать все потоки за последние месяцы, чтобы увидеть передачу похожих массивов по трафику. Естественно, тут мы не можем раскрывать детали реализации, но очень коротко — найдём, что это было, но не прямо сегодня.
Второй задачей было получить доступ к таблице с дампом. Его мы получили спустя полчаса после анонсов хакеров.
Третья часть — отработать основные версии.
Как я уже говорил, их четыре, и первую, с сопоставлением данных других утечек с нашими клиентами (либо использование утекших авторизационных данных почт при масштабных взломах почтовых провайдеров прошлых лет) мы отбросили почти сразу. Кто-то получил доступ к одному из технических потоков.
Вторая версия — это внешний поставщик, разрабатывавший одно из решений в сфере эквайринга. Платежные данные не утекли, решение проходит ежегодную сертификацию по стандартам PCI DSS высшего из возможных классов (Service Provider Level 1), поэтому такая версия маловероятна, но тем не менее мы её тоже тщательно прорабатываем.
Третья версия — сотрудник компании. Такое нельзя исключать. Хочется верить, что это окажется только версией, а не реальностью.
Четвёртая версия — возможная эксплуатация бага, о котором мы не знаем. Для этого тоже нужен анализ потоков данных на низком уровне.
Это пока всё, что известно на текущий момент. Скорее всего, будут апдейты в следующие дни, но если тут стоит национально-политический вопрос, то, скорее всего, я до какого-то момента смогу делиться только частью технических данных, чтобы сохранять тайну следствия.