Угнать сайт стало так же просто, как скачать PDF. И речь не о паре блогов — на кону тысячи доменов
NewsMakerOpenprovider случайно слила 164 ГБ: домены, коды, приватные данные — всё наружу.
6 апреля 2025 года специалист по кибербезопасности Боб Дьяченко, совместно с аналитиками из команды Cybernews наткнулся на незащищённый сервер Elasticsearch , принадлежавший компании Openprovider. В результате инцидента в открытом доступе оказались журналы с подробными сведениями о клиентах, регистрациях доменов и внутренней технической переписке.
Elasticsearch, платформа для моментального поиска и анализа данных, часто используется для мониторинга в режиме реального времени. Однако без должной настройки она может превратиться в источник огромной утечки — именно это и произошло.
Открытая инстанция Elasticsearch содержала массивные лог-файлы, в которых детализировались действия пользователей, операции с доменами, запросы и ответы внутренних систем, а также коды авторизации на перенос доменов (authCode). Последние представляют собой своего рода «пароли» для смены регистратора и могут использоваться злоумышленниками для угона веб-адресов .
Особое беспокойство вызвало то, что среди данных присутствовали имена пользователей, уникальные идентификаторы реселлеров, статусы приватности WHOIS-записей и необработанные данные о создании доменов. Даже те клиенты, кто оплатил услугу сокрытия личных данных при регистрации, оказались раскрыты — в логах фигурировали их полные имена, физические адреса, номера телефонов и e-mail.
По оценке исследователей, Elasticsearch-сервер содержал около дюжины индексов суммарным объёмом в 164 гигабайта. Самый крупный из них, вероятно, представлял собой историческую базу регистраций, охватывавшую многолетние данные о клиентах и связанных с ними доменных зонах. Наряду с этим в индексах хранились уведомления, отправленные пользователям, включая содержание рассылок и технических оповещений.
С технической точки зрения особенно критичными оказались строки, где одновременно присутствовали названия доменов, их коды авторизации, внутренние учётные записи, контактные данные технических и административных представителей, а также имена пользователей и идентификаторы их аккаунтов. Такая комбинация параметров делает возможным несанкционированное вмешательство в управление доменами и открывает дорогу для масштабных атак.
Хотя среди утекшей информации не было классических атрибутов, таких как номера банковских карт или пароли, сама по себе структура утечки представляла серьёзную угрозу. Данные можно было использовать не только для перехвата контроля над сайтами, но и для рассылки фишинговых писем от имени пострадавших клиентов или даже для создания точечных атак на инфраструктуру их партнёров.
Исследователи подчёркивают, что в руках злоумышленников этот массив мог обернуться одной из самых масштабных атак в истории. Перехват доменов, принадлежащих крупным компаниям и широко посещаемым ресурсам, дал бы хакерам возможность подменить содержимое сайтов, направив трафик на вредоносные копии. Последствия в этом случае могли бы быть катастрофическими — от компрометации личных данных пользователей до репутационных потерь международного масштаба.
Особый интерес для киберпреступников представляли технические особенности архитектуры Openprovider. В логах встречались сведения о шаблонах внутренних ответов, идентификаторах системных задач, пакетных операциях и других деталях, потенциально позволяющих выстроить карту функционирования сервисов. Эти данные могли бы использоваться для подготовки сложных целевых атак на инфраструктуру компании.
Кроме того, незашифрованные регистрационные записи открывали путь для анализа взаимосвязей между доменами. Поскольку веб-разработчики и агентства часто управляют десятками сайтов одновременно, злоумышленники могли бы быстро выявить группу ресурсов, созданных одной командой, и предположить наличие одинаковых уязвимостей во всех проектах.
После обнаружения утечки исследователи незамедлительно связались с представителями компании. Openprovider подтвердила инцидент и уже на следующий день, 7 апреля, закрыла доступ к серверу. Позднее стало известно, что данные находились в открытом состоянии на протяжении трёх месяцев — всё это время любой желающий мог скачать массив без какой-либо авторизации.
Openprovider — аккредитованный регистратор ICANN с офисом в Нидерландах. Компания обслуживает миллионы доменных имён по всему миру, предлагая услуги регистрации, хостинга и облачных решений для агентств, хостинг-провайдеров, реселлеров и корпоративных клиентов. Основной рынок — Европа, но деятельность Openprovider охватывает и другие регионы.
В ответ на инцидент представители компании заявили о намерении уведомить пострадавших клиентов в следующем выпуске рассылки. Также сообщалось, что они пересматривают внутренние процессы безопасности и рассматривают запуск собственной программы вознаграждений за обнаруженные уязвимости. До публикации материала компания не предоставила дополнительные комментарии журналистам Cybernews.
Ранее Openprovider уже использовала сторонние услуги для тестирования своей защищённости, однако после утечки заговорила о расширении мер, включая внедрение баг-баунти платформы и ужесточение политики конфигурации систем хранения.
Cybernews в свою очередь призвала клиентов компании быть особенно бдительными. Рекомендации включают смену паролей, мониторинг активности аккаунтов, а также внимательное отношение к фишинговым письмам, которые могут прийти от имени партнёров или сотрудников хостинг-провайдеров. Особенно это касается пользователей, ранее оформивших услугу приватности — их данные теоретически могли попасть в руки третьих лиц.
Подобные утечки — ещё одно напоминание о том, что даже в зрелых технологических компаниях ошибка в конфигурации может привести к серьёзным последствиям. И если бы этот массив попал не в руки исследователей, а на чёрные рынки, последствия могли бы сказаться на тысячах бизнесов и миллионов пользователей по всему миру. Для минимизации рисков рекомендуется следовать советам по защите доменных имён и регулярно контролировать безопасность инфраструктуры.
Elasticsearch, платформа для моментального поиска и анализа данных, часто используется для мониторинга в режиме реального времени. Однако без должной настройки она может превратиться в источник огромной утечки — именно это и произошло.
Открытая инстанция Elasticsearch содержала массивные лог-файлы, в которых детализировались действия пользователей, операции с доменами, запросы и ответы внутренних систем, а также коды авторизации на перенос доменов (authCode). Последние представляют собой своего рода «пароли» для смены регистратора и могут использоваться злоумышленниками для угона веб-адресов .
Особое беспокойство вызвало то, что среди данных присутствовали имена пользователей, уникальные идентификаторы реселлеров, статусы приватности WHOIS-записей и необработанные данные о создании доменов. Даже те клиенты, кто оплатил услугу сокрытия личных данных при регистрации, оказались раскрыты — в логах фигурировали их полные имена, физические адреса, номера телефонов и e-mail.
По оценке исследователей, Elasticsearch-сервер содержал около дюжины индексов суммарным объёмом в 164 гигабайта. Самый крупный из них, вероятно, представлял собой историческую базу регистраций, охватывавшую многолетние данные о клиентах и связанных с ними доменных зонах. Наряду с этим в индексах хранились уведомления, отправленные пользователям, включая содержание рассылок и технических оповещений.
С технической точки зрения особенно критичными оказались строки, где одновременно присутствовали названия доменов, их коды авторизации, внутренние учётные записи, контактные данные технических и административных представителей, а также имена пользователей и идентификаторы их аккаунтов. Такая комбинация параметров делает возможным несанкционированное вмешательство в управление доменами и открывает дорогу для масштабных атак.
Хотя среди утекшей информации не было классических атрибутов, таких как номера банковских карт или пароли, сама по себе структура утечки представляла серьёзную угрозу. Данные можно было использовать не только для перехвата контроля над сайтами, но и для рассылки фишинговых писем от имени пострадавших клиентов или даже для создания точечных атак на инфраструктуру их партнёров.
Исследователи подчёркивают, что в руках злоумышленников этот массив мог обернуться одной из самых масштабных атак в истории. Перехват доменов, принадлежащих крупным компаниям и широко посещаемым ресурсам, дал бы хакерам возможность подменить содержимое сайтов, направив трафик на вредоносные копии. Последствия в этом случае могли бы быть катастрофическими — от компрометации личных данных пользователей до репутационных потерь международного масштаба.
Особый интерес для киберпреступников представляли технические особенности архитектуры Openprovider. В логах встречались сведения о шаблонах внутренних ответов, идентификаторах системных задач, пакетных операциях и других деталях, потенциально позволяющих выстроить карту функционирования сервисов. Эти данные могли бы использоваться для подготовки сложных целевых атак на инфраструктуру компании.
Кроме того, незашифрованные регистрационные записи открывали путь для анализа взаимосвязей между доменами. Поскольку веб-разработчики и агентства часто управляют десятками сайтов одновременно, злоумышленники могли бы быстро выявить группу ресурсов, созданных одной командой, и предположить наличие одинаковых уязвимостей во всех проектах.
После обнаружения утечки исследователи незамедлительно связались с представителями компании. Openprovider подтвердила инцидент и уже на следующий день, 7 апреля, закрыла доступ к серверу. Позднее стало известно, что данные находились в открытом состоянии на протяжении трёх месяцев — всё это время любой желающий мог скачать массив без какой-либо авторизации.
Openprovider — аккредитованный регистратор ICANN с офисом в Нидерландах. Компания обслуживает миллионы доменных имён по всему миру, предлагая услуги регистрации, хостинга и облачных решений для агентств, хостинг-провайдеров, реселлеров и корпоративных клиентов. Основной рынок — Европа, но деятельность Openprovider охватывает и другие регионы.
В ответ на инцидент представители компании заявили о намерении уведомить пострадавших клиентов в следующем выпуске рассылки. Также сообщалось, что они пересматривают внутренние процессы безопасности и рассматривают запуск собственной программы вознаграждений за обнаруженные уязвимости. До публикации материала компания не предоставила дополнительные комментарии журналистам Cybernews.
Ранее Openprovider уже использовала сторонние услуги для тестирования своей защищённости, однако после утечки заговорила о расширении мер, включая внедрение баг-баунти платформы и ужесточение политики конфигурации систем хранения.
Cybernews в свою очередь призвала клиентов компании быть особенно бдительными. Рекомендации включают смену паролей, мониторинг активности аккаунтов, а также внимательное отношение к фишинговым письмам, которые могут прийти от имени партнёров или сотрудников хостинг-провайдеров. Особенно это касается пользователей, ранее оформивших услугу приватности — их данные теоретически могли попасть в руки третьих лиц.
Подобные утечки — ещё одно напоминание о том, что даже в зрелых технологических компаниях ошибка в конфигурации может привести к серьёзным последствиям. И если бы этот массив попал не в руки исследователей, а на чёрные рынки, последствия могли бы сказаться на тысячах бизнесов и миллионов пользователей по всему миру. Для минимизации рисков рекомендуется следовать советам по защите доменных имён и регулярно контролировать безопасность инфраструктуры.