Login

VincaSec · 11-01-2023, 01:10 PM

https://leakix.net/host/195.222.96.253

***milos_rs*** · (This post was last modified: 11-08-2024, 11:43 AM by milos_rs.)

01-11-2023. objavljeno je ovde na forumu da postoji potencijalno curenje podataka, u tom trenutku je propust već bio aktivna tri meseca.
24-10-2024. posle saznanja da je ovaj propust još uvek aktivan, proverio sam o čemu se radi i prijavio sam lokalnom CERT-u da su javno dostupne datoteke koje sadrže osetljive podatke.
31-10-2024. sam proverio da fajlovi više nisu dostupni, dakle uvažili su prijavu i odradili posao.

Zatražio sam u prijavi i da me obaveste o učinjenom da bih zaključio ovaj slučaj na forumu, ali dve nedelje posle prijave nisam primio nikakav odgovor od njih, te ću objaviti ovu analizu da ostane dokumentovano:

U trenutku moje prijave CERTu ovaj propust je bio aktivan 473 dana:

Filename: ramm1.png Size: 172.22 KB 11-08-2024, 10:20 AM

Opis propusta

Na adresi apps.ramrrs.gov .rs/data.json se nalazila datoteka koja je bila javno dostupna i u kojoj su podaci tokova sporova Republičke agencije za mirno rešavanja radnih sporova (www.ramrrs.gov.rs) između 2016. i 2022. sa sve imenima i adresama stranaka koje su učestvovale u sporovima. Bilo je podataka kako za fizička tako i za pravna lica.

Pored ove datoteke bilo je i nekoliko drugih koje takođe sadrže podatke postupaka, ali su manje veličine i ova jedna je bila najkritičnija jer je sadržala osetljive podatke o ličnosti kao i o radnim sporovima u kojima se te ličnosti nalaze i protiv koga.

U toj jednoj datoteci je bilo ukupno 6965 zapisa. Zapisi su sadržali:

ime i adresu tužitelja i okrivljenog, kako za pravna lica tako i za fizička lica koja su učestvovala u rešavanju radnih sporova preko agencije
broj predmeta
tok predmeta tj radnji na predmetu, sa datumima
spisak dokumenata vezanih za predmet (rešenja, dopisi, odgovori)
razni drugi podaci o tipu spora, da li se traži novčana isplata, itd.
Neki podaci kao što su radnje na predmetu su u formatu šifara, na primer neka radnja ima šifru "12345678-1234-1234-1234-123456789012" tako da nije moguće golim okom znati šta je ta radnja, ali se može zaključiti i špekulisati.

Kako je došlo do propusta?

Ovde nagađam jer nemam načina da znam i niko se nije oglasio, po običaju ne dobijamo post-morteme incidenata.

Do propusta je verovatno došlo tako što je neko ko je radio na sajtu sa svog Apple računara preneo fajl .DS_Store na sam sajt, onda su ga javno dostupni internet servisi koji skeniraju ceo internet za propuste našli i preko njega našli imena fajlova koji su navodno bili dostupni na sajtu. To je ovaj izveštaj na gornjem snimku ekrana. Malo više o ovoj datoteci i zašto je opasno da se javno postavi na sajt:

Quote:.DS_Store“ je skraćenica za „Desktop Services Store“. Ove datoteke automatski kreira Apple “Finder” softver (koji je deo operativnog sistema).

Oni čuvaju informacije o datotekama unutar fascikle, sadrže opcije prikaza fascikli, kao što su položaji ikona i podešavanja prikaza.

Može se desiti da .DS_Store datoteke slučajno propuštaju imena datoteka kao što su rezervne kopije baze podataka ili privatni administrativni paneli.

Iz nekog razloga ova .DS_Store datoteka nije uklonjen sa sajta iako sam ukazao na njeno postojanje u prijavi, ali jesu uklonjeni JSON fajlovi na koje je datoteka pokazivala.

Obaveštenje o zaštiti podataka o ličnosti

Na sajtu agencije postoji obaveštenje o zaštiti podataka o ličnosti na adresi https://www.ramrrs.gov.rs/storage/docume...pwnXg.docx

prenosim relevantan deo:

Filename: ramm2.png Size: 63.75 KB 11-08-2024, 10:08 AM

Tehnički detalji

apps.ramrrs.gov.rs has address 195.222.96.253
na serveru je instaliran Laravel v8.83.27 (PHP v7.4.33)

Da li će biti javnog saopštenja i da li će neko da odgovara? i zašto, po običaju, ne?

VincaSec · 11-08-2024, 11:18 PM

Login
Username/Email:
Password:	Lost Password?
	Remember me