Ты спрятал имя от интернета. Но Openprovider показала его всем, кому не лень — с адресом в придачу

6 апреля 2025 года исследователь Боб Дьяченко, совместно с аналитиками из команды Cybernews , наткнулся на незащищённый сервер Elasticsearch , принадлежавший компании Openprovider. В результате инцидента в открытом доступе оказались критически важные сведения.

Elasticsearch — это система, предназначенная для быстрого анализа и поиска информации, часто применяемая в целях мониторинга. Однако при некорректной конфигурации она способна непреднамеренно раскрывать внутренние данные, как это произошло в данном случае.

Сервер содержал объёмные журналы, в которых отражались события, связанные с регистрацией доменов, действиями клиентов, обработкой внутренних API-запросов, а также присутствовали так называемые authCode — уникальные коды, используемые для переноса доменов между регистраторами. Эти ключи по сути служат паролями к цифровой собственности и могут быть применены злоумышленниками для угонов доменных имён .

Наряду с этим в логах фиксировались персонализированные метаданные: имена пользователей, ID реселлеров, статус приватности WHOIS-записей , а также необработанные записи о процессе регистрации. Что особенно критично — даже владельцы доменов, оплатившие услугу анонимизации, оказались в открытом массиве: их почтовые адреса, телефоны и email-данные не были скрыты.

По расчётам исследователей, на сервере находилось около дюжины индексов, совокупный объём которых достигал 164 гигабайт. Один из них включал многолетнюю историю регистраций, а другие содержали внутреннюю коммуникацию с клиентами — от уведомлений до служебных рассылок.

Среди особенно чувствительных записей — комбинации имён доменов с кодами авторизации, техническими и административными идентификаторами, данными пользователей и служебными хендлами. Такая совокупность параметров даёт возможность вмешательства в управление цифровыми активами без согласия владельцев.

Помимо прямого контроля над доменами, утечка предоставляет почву для фишинговых атак и целевого мошенничества: имея контактные данные реселлеров или администраторов, преступники могут имитировать легитимную коммуникацию или выстраивать сложные схемы социальной инженерии.

Масштаб утечки столь велик, что в неблагоприятном сценарии она могла бы стать одним из крупнейших инцидентов в истории. Захват доменов крупных компаний с последующей подменой контента на вредоносный мог привести как к утечкам пользовательских данных, так и к глобальным сбоям доверия в сетевой инфраструктуре.

Дополнительную угрозу представляли сведения о внутренних механизмах Openprovider: исследователи нашли в логах шаблоны ответов, идентификаторы процессов и структуру пакетных операций. Эти фрагменты позволяют воссоздать карту серверной логики и применить её для точечных атак на инфраструктурный слой.

Также утечка предоставляла возможность сопоставить множество доменов, управляемых одними и теми же разработчиками. Такая корреляция позволяет определить группы сайтов с общими признаками, где, вероятно, повторяются уязвимости.

После обнаружения проблемы исследователи оперативно связались с компанией. Openprovider подтвердила факт утечки и уже 7 апреля закрыла доступ к серверу. Позднее выяснилось, что система оставалась незащищённой в течение трёх месяцев, в течение которых любой пользователь мог скачать данные без ограничений.

Openprovider — нидерландская компания, аккредитованная ICANN. Она управляет миллионами доменов по всему миру и предоставляет инфраструктуру для хостинга, облачных сервисов и регистрации доменов, работая преимущественно с корпоративными клиентами и агентствами. Основной рынок — Европа, но география охватывает и другие регионы.

В официальных заявлениях компания заверила, что уведомит пострадавших в следующем выпуске своей рассылки. Также было объявлено о пересмотре внутренних процедур безопасности и намерении внедрить программу баг-баунти для стимуляции поиска уязвимостей.

До инцидента Openprovider уже пользовалась внешними сервисами тестирования безопасности, но теперь компания рассматривает ужесточение политики доступа и усиление контроля конфигураций серверов хранения.

Этот случай вновь доказывает: даже у зрелых ИТ-компаний ошибка в настройках способна обернуться глобальными последствиями. Если бы массив попал в руки киберпреступников, ущерб мог бы затронуть тысячи организаций и миллионы пользователей. Чтобы минимизировать риски, необходимо регулярно проводить ревизию безопасности и следовать рекомендациям по защите инфраструктуры.