evonoeit.ru

Привет Пикабу, на связи вновь товарищ Выйтиизайти! После моего последнего поста про систему КИС АРТ на меня зачем-то подписалось 8 человек. Вам нравятся истории про IT и такси? Их есть у меня!

Для начала хочу сказать что рассказ будет про такси в загадочной стране под названием Москва, поэтому мне, замкадышу, не суждено понять происходящее до конца. При всем моем опыте работы в околотаксишной айтишке я так и не ступал на святую землю Москва-сити, уж простите меня! Если где-то приукрасил/наврал - поправьте в комментах!

Начало было таким: Минтранс, в частности его Московский департамент, решил создать электронный реестр водителей такси Москвы и МО. Для этого был найден компетентый подрядчик, который за 123 миллиона рублей все-таки смог сделать одностраничный сайт на несколько вкладок со входом через СМС или Госуслуги.

К сожалению весь бюджет ушел именно на это, а посему местная стая IT-макак (автор, к слову, от них недалеко ушел) не осилили сделать защиту от дудоса, в результате чего телефонные номера и персональные данные таксистов успешно слили. О том как именно это произошло вы можете почитать в моем прошлом посте.

Конечно же тот факт что реестр разрабатывался в 2020-2021 это просто совпадение.

https://www.rbc.ru/politics/16/04/2021/6079d5859a79476be7609...

Теперь давайте поговорим о том, почему вообще государство так докопалось до водителей.

Чего вы хотите когда садитесь в такси? Наверное в первую очередь - доехать в целости и сохранности, так? Чтобы у автомобиля не отказали тормоза, чтобы водитель не словил сердечный приступ за рулем, перерабатывая 14 часов на энергетиках ради выгодного коэффициента. По сути это и есть та цель, которую декларирует наше государство когда лезет в сферу такси, проблема в том что кроме как "запретить, ограничить, зарегулировать" ничего не предлагают.

Как все устроено сейчас: у таксиста есть "путевой лист". По сути бумажка, куда проставляются штампы о том, что таксист перед началом рабочего дня прошел осмотр врача, а механик подтвердил исправность автомобиля. Новая смена - новая бумажка. Хотите узнать, как все происходит на самом деле?

Есть таксопарк, в котором можно арендовать машину. Водитель приезжает туда. Вместе с машиной, как правило, сразу выдают стопку путевых. Заполненных, с подписями и печатями, на неделю/две/месяц. Все, за работу, аренду авто же надо платить! Для таксистов с собственным авто как правило разница лишь в том, что пачку путевок на месяц они просто покупают на том же Авито.

Почему так происходит? Таксисты совсем жадные до денег идиоты и хотят смерти пассажиров? А вы поставьте себя на место среднестатистического таксиста. Вы живете за МКАДом, ваш таксопарк - в другой половине города. Вы согласитесь каждый день тратить час-два в пробках, чтобы доехать на медосмотр и техосмотр, честно? А если у вас авто в аренде, и 3000Р списывается с баланса каждые сутки? А кроме этого еще нужно что-то поесть и где-то поспать?

Я не говорю что так делают все, некоторым повезло жить рядом с таксопарком, или найти поблизости пункт, где можно провести осмотр перед сменой (но не бесплатно, конечно же).

Каждый осмотр - бумажка. Каждая смена - бумажка. Когда передают пачку, то это почти всегда 2 бумажки на день, с двумя сменами по 12 часов. И на каждой по сути написано одно и тоже: кто таксист, кто перевозчик, номер авто. Отличаются лишь даты и время. Пример, рандомный путевой лист московского таксопарка:

Хороший потенциал для цифровизации, правда? Поэтому в 2021 году таксистов попытались "оцифровать" с помощью КИС АРТ, и даже идея была не самой плохой:

Давайте дадим всем личный кабинет: перевозчику, водителю, медику и механику (с лицензиями). Водитель сообщает что готов выехать, перевозчик нажимает кнопку в личном кабинете и заводит путевой лист. По пути водитель заезжает на пункт проведения осмотра, где свои отметки в листе проставят медик и механик по одному лишь ID водителя.

В конце смены водитель опять посещает медика и механика. Путевой лист закрывается, система начинает отсчет времени на отдых и не позволяет открыть новую путевку. В результате по камерам и номеру авто ГАИшник уже будет видеть, может человек сейчас работать или нет. Даже более того, тот же Яндекс не позволит начать смену.

Что пошло не так? Да вообще все, потому что, повторюсь, одними запретами и ограничениями эту проблему не решить, если люди вынуждены сидеть за рулем 10 часов и больше. Но давайте начнем с реализации. Путевой от какого-то случайного таксопарка вы уже видели, вот вам электронный путевой лист из системы КИС АРТ за 123 миллиона рублей:

Скромная надпись сверху "соответствует приказу Минтранса России №368 от 11.09.2020г." как бы говорит нам, что ребята старались... Только почему-то null вылез в графе "Организация", хотя система уже два года как запущена (или запущена?).

Шутки шуткам, но это лишь верхушка айсберга. Сам КИС АРТ безбожно лагал (и я писал почему), а водителям не хватало отведенных 8 часов смены в системе (привет, капитализм!) и они продолжали пользоваться бумажными путевками. Чего стоит интерфейс, чтобы разобраться в котором нужно было скачивать отдельный PDF файл со справкой, список "почему не взлетело" можно продолжать еще очень долго.

Все закончилось так же внезапно как и началось: гаишники резко перестали проверять КИС АРТ, водители выдохнули и вернулись к бумажкам. Лишь Яндекс до сих пор требует наличие КИС АРТ ID, поэтому всё новые и новые селфи с паспортами летят сотрудникам Минтранса.

Одно можно сказать точно:

А что было дальше? Дальше все вернулось на круги своя, и вроде бы уже никто и не переживал про электронные путевые, но на горизонте замаячил Приказ Минтранса от 28 сентября 2022 г. №390 который вступил в силу 1 марта 2023 года.

Данный приказ на законодательном уровне утвердил состав сведений, который должен содержаться в электронном путевом листе, а так же способы подписания электронного путевого листа. А теперь загибаем пальцы:

1. У государства есть электронный реестр таксистов, который запущен в работу и актуализируется из-за запрета агрегаторам вроде Яндекса брать водителей вне реестра.

2. В этот реестр кроме водителей занесены перевозчики, медицинские организации и пункты техосмотра. У всех проверены документы вручную, все лицензированы, подвязаны аккаунты Госуслуг.

3. Реестр худо-бедно но формирует электронные путевые листы

Любой здравомыслящий человек скажет: да этот приказ наверняка подогнал законодательно форму и содержание электронного путевого листа под КИС АРТ! Не зря же отдали 123 миллиона? Не зря же нагнали шороху по всей Москве, и штрафовали людей? Не зря же?

Дорогой читатель, в свое время я тоже был полон надежд и поэтому отправил официальный запрос с просьбой разъяснить приказ:

Люди в срочном порядке оформляли лицензии, регистрировались, платили огромные штрафы, интегрировали КИС АРТ в CRM системы, в 1С, чтобы что? Чтобы просто взять и выкинуть это?

Да, вот так просто. Теперь у Минтранса новая игрушка. Хотите электронные путевые листы? Выложите деньги за ЭЦП. Выложите деньги посредникам за доступ к ГИС ГМП, коих всего штук десять. Вы заходите в КИС АРТ через Госуслуги, у вас в профиле селфи с паспортом? Нам плевать. Идите оформляйте ЭЦП, а про КИС АРТ забудьте.

Не было этих 123 миллионов рублей, да, @DtRoad?

Привет Пикабу, на связь опять выходит чудило по имени Выйтиизайти. В этой истории я не горю желанием обозначать свою роль, поэтому расскажу ее больше как наблюдатель со стороны, чтобы товарищ майор особо не возбуждался в мой адрес.

Для справки: автор - не пентестер, не хацкер, а просто любопытный мимокрокодил.

Все началось с того, что одна светлая голова в Минтрансе решила создать электронный реестр таксистов. И я сейчас пишу без сарказма, это вполне нормальный инструмент. Для тех кто не варится в сфере поясню: государство сейчас контролирует лишь перевозчиков, это как правило ИП или ООО владеющее машиной (и лицензией такси). Человек же сидящий за рулем этой машины - загадка.

Поэтому поступило вполне логичное предложение: сделать электронный реестр, у всех таксистов проверить документики и внести их в систему в добровольно-принудительном порядке. А дальше уже развивать функционал для контроля и анализа данных, ну вы поняли

История эта как-то не задалась с самого начала. Вот что пишет Интерфакс в ноябре 2020 года:

До конца текущего года в Москве будет подготовлена цифровая база водителей такси КИС "АРТ", которая должна существенно повысить безопасность таксомоторных перевозок, сообщил замруководителя Центра организации дорожного движения столицы Александр Евсин.

https://www.interfax-russia.ru/moscow/main/cifrovuyu-bazu-ta...

Потом Известия анонсируют перенос в Июле 2021:

Правительство Москвы уведомило о решении перенести запуск системы отслеживания работы такси КИС «АРТ» с 1 на 14 августа в связи с многочисленными просьбами бизнеса. Об этом в пятницу, 30 июля, сообщили в пресс-службе столичного департамента транспорта.

https://iz.ru/1200698/2021-07-30/v-moskve-perenesli-datu-zap...

В августе 2021 года запуск состоялся, новости отчитались о том как замечательно все прошло, а отзывы об этом событии с форума таксистов я сюда вставлять не буду :)

Да-да, я знаю что вы уже хотите увидеть "внутрянку" этой невероятной инновации, дайте мне еще минутку на экскурс. Вставлю цитатку:

КИС «АРТ» — комплексная информационная система «Аналитика работы такси». Действующая в Москве и Подмосковье система контроля таксистов.

Каждый водитель получает цифровой ID, на него заводится цифровой профиль, куда включают данные о действующих правах, наличии разрешения на перевозку пассажиров, о штрафах, судимостях, количестве отработанных часов.

Ну и про деньги, куда же без них:

Система обошлась столичному дептрансу в 123 млн рублей — 93 млн получила компания «Интермобилити», ещё почти 30 млн досталось компании «Стандартпроект».

Итак, барабанная дробь, инновационная система за 123 млн рублей на вашем экране!

Да, вы все верно поняли. Весь реестр представляет из себя небольшой сайтик со списками и формами, регистрация на котором происходит в ручном режиме (у водителей например требуют селфи с паспортом и фото ВУ, которые по всей видимости проверяет сотрудник Минтранса).

Скриншоты кстати свежие, далеко не 2021 год. Реестр работает, там стабильно появляются новые водители, причем появляются они там самыми разными способами:

Давайте пропустим ту часть, где я ною о том что из заявленного функционала нихрена они не сделали, штрафы до сих пор проверить невозможно, консоль в браузере пердит ошибками, а жалкое подобие электронного путевого листа который генерируется этой системой не соответствует последнему закону о такси. Перейдем к сути.

Чтобы понять как именно из этой системы утекали данные, я объясню задумку Минтранса. В момент регистрации водителю присваивают идентификатор - так называемый КИС АРТ ID. Логика формирования прозрачна, хоть о ней никто и не говорит: это порядковый номер человека в системе. То есть, если КИС АРТ ID водителя 300001, значит до него уже зарегистрировалось 300000 бедолаг.

Кроме водителей в системе есть другие участники: пункты медосмотра, техосмотра, таксопарки. Последние могут "пригласить" водителя к себе (не суть важно зачем, оно все равно блять не работает). Вся проблема кроется именно в механизме этого самого "приглашения".

Сейчас форма поиска выглядит чуть иначе, поэтому я вставил скриншот с видео на Ютубе

Они сделали форму поиска с двумя полями, но для работы достаточно лишь одного значения

Давайте предположим что у нас есть такой водитель:
ФИО: Иванов Иван Иванович
КИС АРТ ID: 300654
Телефон: 8 (000) 000 00 00

Таксопарк может искать водителя или по номеру телефона (который кстати является логином). Вбиваем и получаем следующий ответ от сервера:

id: 300654
full_name: "******* Иван Иванович"

Дальше ищем то же самое по номеру КИС АРТ ID

full_name: "******* Иван Иванович"
phone: *** *** 00 00

Зная КИС АРТ ID можно получить последние 4 цифры номера телефона водителя, его имя и отчество. Коды операторов сотовой связи - первые три цифры номера - для Москвы и области гуглятся за пару секунд. Ладно бы все это, но поиск по номеру телефона, который однозначно сообщает является ли его владелец таксистом, его ID, имя и отчество?

А теперь загадка от Жака Фреско. Как вы думаете, в системе за 123 миллиона рублей подрядчик реализовал защиту от дудоса? Ограничение на число запросов поиска, или хотя бы примитивную капчу как на сайте ГИБДД?

Да, вы все верно поняли, никаких ограничений не было. На тему того, как используя эту информацию можно было выкачивать данные водителей такси я предлагаю порассуждать в комментариях :))

Осень 2021 года запомнилась многим таксишным IT-системам, сервисам и крупным таксопаркам невероятнейшим наплывом предложений купить СЛИТУЮ БАЗУ НОМЕРОВ ВОДИТЕЛЕЙ ТАКСИ КИС АРТ 2021. Какое количество персонализированного спама и звонков получили таксисты остается только догадываться.

Примерно через полгода постоянных лагов КИС АРТа дыру эту молча закрыли, установив ограничение на два поисковых запроса с одного аккаунта в минуту. Никаких комментариев от ведомства тоже не поступало. Капитализм, счастье, заебись!

А на этом у меня все! Пользуясь случаем передаю привет своему единственному подписчику, надеюсь этот пост тебе понравился <3

Привет, Пикабу! Зовут меня Выйтиизайти, можно просто Валентин. Это мой первый пост, и я пришел рассказывать вам невыдуманные истории о которых невозможно молчать. А посему - дисклеймер: все персонажи и события вымышлены, любое совпадение не более чем случайность.

Экспозиция

Некая крупная компания Гроктер&Пэмбл, в лице одного из отделов, задумала автоматизировать какой-то свой бизнес-процесс (само собой чтобы сократить издержки и уволить парочку-другую зевак). Поскольку компания большая и динамично развивающаяся, свободных рук исполнить такое кощунство у них нет, поэтому они приходят на галеру.

Галера, дорогой читатель, это когда компания занимается перепродажей кадров (гребцов) из одних рук в другие, чаще всего на проектной основе. В мире крупной рыбы это EPAM, Luxoft и им подобные.

Итак, новости уже на борту: впереди ждет работа. Но сколько времени она займет? Какую сумму потребовать? А выполним ли вообще этот проект? По команде выдвигается вся пищевая цепочка менеджеров, в самом хвосте которых болтаются разработчики самого разного калибра.

Завязка

Ладно, шутки в сторону, к ним мы еще вернемся. Ко мне обратился менеджер с просьбой оценить трудозатраты и реализуемость. В проекте автоматизации задействован сторонний сервис Ledge от другой крупной компании - Essential, откуда требуется выкачать .csv файлик, содержащий **данные удалены** для дальнейшей обработки и загрузки в БД. Клиент не выдал никаких доступов или инструкций для авторизации - просто прислал ссылку на скачивание из сервиса Ledge, примерно вот такую:

dataapi .ledge. com/clients/4aari/catalogs/download?escape_leading_zeroes=1&add_bom=1&X-API-KEY=eb96tvou4

Я думаю что некоторые уже догадались к чему все идет. Да-да, в ссылке был зашит API ключ.

dataapi .ledge. com/clients/4aari/catalogs/download?escape_leading_zeroes=1&add_bom=1&X-API-KEY=eb96tvou4

Дальше идет машинный перевод куска моего отчета о том, почему пихать API ключ в ссылку не есть хорошо:

Раскрытие URL: URL, включая параметры запроса, могут регистрироваться в различных местах, таких как история браузера, журналы сервера и заголовки реферера. Если ключ API включен в URL, он может быть раскрыт неавторизованным лицам, имеющим доступ к этим журналам или перехватывающим URL во время передачи.

Кэширование и ссылки: Ключ API может быть непреднамеренно сохранен или передан не по назначению, если URL-адрес кэшируется или ссылается в различных местах (например, в закладках браузера или результатах поисковых систем).

Видимость: Поскольку URL-адреса видны в адресной строке веб-браузеров, ключ API более подвержен перехвату через скриншоты или записи.

Злоупотребление: Если ключ API включен в URL, пользователи или сторонние скрипты на странице могут непреднамеренно утечь или раскрыть URL, сделав ключ API доступным для сторонних лиц.

Более того, это была не ссылка на скачивание файла, а вполне себе рабочий эндопоинт API, потому во мне взыграло любопытство и после рабочего дня я решил чуть-чуть поковыряться. Автор, кстати, ни разу не хакер, и не пентестер - просьба попридержать фейспалмы.

Развитие действия

Итак, что же я сделал: сначала я исключил ключ из ссылки, на что получил закономерный {"error": "Missing Key Permission."}, и то же самое когда попробовал вписать вместо ключа рандомную тарабарщину. Подменил эндпоинт "download" в ссылке на условный "test" - получил вполне логичное 404 и {"error": "Not found."} от сервера.

С этими знаниями можно заключить, что существующий эндпоинт в API сервиса Ledge всегда вернет "Missing Key Permission". Ах да, защиты от дудоса в процессе я никакой не увидел -- ищем остальные эндпоинты!

Смотрим структуру ссылки:

/clients/4aari/catalogs/download

Есть /clients/ + <client ID> + /...

И вот тут надо было бы рассказать, как я набросал скрипт через ChatGPT, который забрутфорсил остальные эндпоинты перебором самых популярных вариантов... Но нет. Мне было лень, поэтому я просто повбивал рандомные словечки из своего опыта (users, files, info и тд). И оно сработало!

dataapi .ledge .com/clients/4aari/users?X-API-KEY=eb96tvou4

Понятненько, подумал я: API ключик работает на все публичные методы данного клиента Ledge в лице компании Гроктер&Пэмбл. Это конечно не очень хорошо, но кто знает, может быть это какой-то особый случай.

И вот тут мне в голову пришла одна мысль: а что если, ну, чисто теоретически, компания Ledge по всем правилам инклюзивности наняла человека, который ошибся и теперь сервер не проверяет принадлежность API ключа должным образом?

API ключ ведь не будет работать на все публичные методы сервиса Ledge? Не будет же?

Далее опять примитивный брутфорс:

dataapi .ledge .com/clients?X-API-KEY=eb96tvou4

dataapi .ledge .com/info?X-API-KEY=eb96tvou4

И вот у меня на руках уже полный список всех клиентов сервиса Ledge, с их системными UUID, информацией о подписке и **данные удалены**. В списке этих же клиентов нашелся наш Гроктер&Пэмбл.

Просьба отнестись с пониманием потому что на чувствительную информацию разных компаний не хочется давать даже намека, поэтому упоминаний никаких других эндпоинтов и примеров не будет.

Итого: у нас есть ссылка, которая берется непонятно откуда. Может быть ее генерирует сотрудник Ledge по запросу Гроктер&Пэмбл, а может быть она генерируется самой системой по запросу на скачивание. Так или иначе, это ссылка ОЧЕНЬ ЯВНО И ЖИРНО говорит о наличии в ней API ключа, который, как оказалось, дает публичный доступ вообще ко всем методам API.

Компании в этой истории (включая клиентов Ledge которых я нашел в том списке) настолько большие, что уже вышли на мировые рынки со своими акциями. Как понимаете, эта ссылка явно проделала до меня большой путь из рук в руки. И вот она у меня, информация - тоже. В воздухе висит вопрос:

Кульминация

Первым делом я решил обратиться напрямую к сервису Ledge. Этичный хакинг же, responsible disclosure, да? Они пофиксят, все будут счастливы и здоровы. Нашел их сайт, написал им письмо где обрисовал всю ситуацию, дал свои контакты для связи, и чтобы не сойти за пустослова - прикрепил файлик со всеми их клиентами.

Прошел день, два. Молчание.

Ладно думаю, хрен с вами. Кто там ваш папочка, компания Essential? Окей, сайт, почтовые адреса, повторяем письмо.

День, два. Молчание.

Сделал последний заход на сайт через google, пробил залитые pdf документики и нашел какую-то презентацию для внутреннего пользования с почтой cybersecurity team компании Essential. Продублировал туда.

Нет ответа! От компании, у которой десятки офисов, куча продуктов, нет ответа! Даже отбойник не пришел за все отправленные письма, твою же налево!

Вот тут у меня уже знатно припекло, поэтому о найденной уязвимости я оповестил менеджера, взял типовой бланк отчета своей галеры и во всех подробностсях изложил все детали произошедшего, прикрепив ответы сервера. На тот момент прошло уже две недели, я уже дописывал свой отчет когда команда cybersecurity ответила с просьбой уточнить данные. Я сразу же отправил им стандартное предложение назначить звонок, чтобы все обсудить.

Ответа на это предложение не последовало.

Поскольку шестеренки уже закрутились, я передал отчет о найденной уязвимости менеджеру, чтобы он сообщил напрямую компании Гроктер&Пэмбл. Дело сделано, отчет отправлен. Я смотрю на копию письма которую отправил менеджер, открываю файл своего отчета и вижу:

Галера придерживается принципа ответственного раскрытия информации и готова помочь команде Essential обеспечить безопасность вашего программного обеспечения. Поэтому я прошу подтвердить получение данного отчета.

Спасибо за внимание к этому вопросу, ждем ответа.

А знаете что там было?

Я придерживаюсь принципа ответственного раскрытия информации и готов помочь команде Essential обеспечить безопасность вашего программного обеспечения. Поэтому я прошу подтвердить получение данного отчета.

Спасибо за внимание к этому вопросу, и я с нетерпением жду вашего ответа.

Искренне,

Валентин Выйтиизайти (корпоративный адрес почты)

Ладно, думаю, хрен с тобой. Галера в курсе, Гроктер&Пэмбл в курсе, глядишь работодатель хотя бы похвалит за бдительность попозже.

Развязка

Спустя 3 дня я заметил подозрительную активность в своем ящике: ого, да это же команда cybersecurity компании Essential очень хочет со мной звонок! Похоже их клиент Гроктер&Пэмбл не обрадовался найденной дыре. Штош, звонок так звонок, назначили.

На звонок пожаловал сам chief technology officer сервиса Ledge в компании двух сотрудников сиберсесюрити и рассказал, что "чувак, да мы видели твои письма, просто эээ не могли ответить две недели потому что есть процедура, мы пробивали тебя понял да?? Никак не связано вообще с тем что позвонили когда нам клиент пиздюлей дал"

По итогу звонка договорились что в адрес нашей компании в лице меня и менеджера от них прилетит письмо: дыру подтверждаем, дыру починили, даем зеленый свет. Прошел день. Два. Ну вы поняли, пришлось им снова написать и напомнить. Спустя неделю все-таки ответили.

Ладно, иду к менеджеру. Вот письмо, отчет ты мой видел, подтверждение есть что не туфта, уязвимость закрыли. Можно благодарочку от клиента или компании для резюме?

Конечно можно, дорогой друг, сейчас напишем письмо нашему Security шефу, он все сделает в лучшем виде. И... Проходит неделя. Проходит две. Прошел месяц. В течении всего времени я пинал менеджера, а он пинал кого-то повыше. В итоге прислали письмо с благодарностью, где перепутали все: и проект, и что конкретно было сделано и кем.

Ни на одном этапе крупные компании (в лице моей галеры, клиента Гроктер&Пэмбл и сервиса Ledge в лице Essential) даже и не заикались сами про какую-то благодарность или про bug bounty. Я думаю что секрет прост: никто и никогда не захочет признать свой проеб. Мне в каком-то смысле стоит радоваться что я репортил это от лица галеры, потому что в некоторых случаях подобные истории заканчиваются судебными преследованиями.

Вывод? Делайте его сами :)