Ek praat weer van persoonlike data-lekkasies, maar hierdie keer vertel ek jou 'n bietjie oor die hiernamaals van IT-projekte deur die voorbeeld van twee onlangse vondse te gebruik.
Tydens 'n databasissekuriteitsoudit gebeur dit dikwels dat jy bedieners (, het ek in 'n blog geskryf) wat aan projekte behoort wat lank (of nie so lank gelede nie) ons wêreld verlaat het. Sulke projekte gaan selfs voort om die lewe (werk) na te boots, wat soos zombies lyk (versamel persoonlike data van gebruikers na hul dood).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Kom ons begin met 'n projek met die harde naam "Poetin se span" (putinteam.ru).
'n Bediener met oop MongoDB is op 19.04.2019/XNUMX/XNUMX ontdek.
Soos u kan sien, was die ransomware die eerste wat hierdie basis bereik het:
Die databasis bevat nie besonder waardevolle persoonlike data nie, maar daar is e-posadresse (minder as 1000 XNUMX), voorname/vanne, versleutelde wagwoorde, GPS-koördinate (blykbaar wanneer daar vanaf slimfone geregistreer word), woonstede en foto's van werfgebruikers wat geskep het. hul persoonlike rekening daarop.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}So baie vullis inligting en leë rekords. Byvoorbeeld, die nuusbriefintekeningkode kontroleer nie dat 'n e-posadres ingevoer is nie, so in plaas van 'n adres, kan jy skryf wat jy wil.
Te oordeel aan die kopiereg op die webwerf, is die projek in 2018 laat vaar. Alle pogings om projekverteenwoordigers te kontak was onsuksesvol. Daar is egter skaars registrasies op die webwerf - daar is 'n nabootsing van lewe.
Die tweede zombieprojek in my ontleding vandag is die Lettiese opstart "Roamer" (roamerapp.com/ru).
Op 21.04.2019 April XNUMX is 'n oop MongoDB-databasis van die mobiele toepassing "Roamer" op 'n bediener in Duitsland ontdek.
Die databasis, 207 MB groot, is sedert 24.11.2018 November XNUMX publiek beskikbaar (volgens Shodan)!
Deur alle eksterne tekens (nie werkende tegniese ondersteuning-e-posadres nie, stukkende skakels na die Google Play-winkel, kopiereg op die webwerf vanaf 2016, ens.) is die toepassing vir 'n lang tyd laat vaar.
Op 'n tyd het byna alle tematiese media oor hierdie begin geskryf:
- VC: "Lettiese opstart Roamer is 'n roaming-moordenaar»
- die dorpie: "Roamer: 'n Toepassing wat die koste van oproepe vanaf die buiteland verminder»
- lifehacker: "Hoe om kommunikasiekoste tydens swerwing met 10 keer te verminder: Roamer»
Dit lyk of die "moordenaar" homself om die lewe gebring het, maar selfs wanneer hy dood is, gaan hy voort om die persoonlike data van sy gebruikers bekend te maak ...
Te oordeel aan die ontleding van inligting in die databasis, gaan baie gebruikers voort om hierdie mobiele toepassing te gebruik. Binne 'n paar uur na waarneming het 94 nuwe inskrywings verskyn. En vir die tydperk van 27.03.2019 Maart 10.04.2019 tot 66 April XNUMX het XNUMX nuwe gebruikers in die aansoek geregistreer.
Logs (meer as 100 duisend rekords) van die toepassing met inligting soos:
- gebruiker foon
- toegangsbewyse tot oproepgeskiedenis (beskikbaar via skakels soos: api3.roamerapp.com/call/history/1553XXXXXX)
- oproepgeskiedenis (nommers, inkomende of uitgaande oproep, oproepkoste, duur, tyd van oproep)
- gebruiker se selfoonoperateur
- Gebruikers IP-adresse
- gebruiker se foonmodel en mobiele bedryfstelselweergawe daarop (byvoorbeeld, iPhone 7 12.1.4)
- gebruiker e-posadres
- gebruikersrekeningsaldo en geldeenheid
- gebruiker land
- huidige ligging (land) van die gebruiker
- promosiekodes
- en nog baie meer.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Dit was natuurlik nie moontlik om die eienaars van die basis te kontak nie. Kontakte op die webwerf werk nie, boodskappe op sosiale media. niemand reageer op netwerke nie.
Die toepassing is steeds beskikbaar in die Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nuus oor inligtinglekkasies en insiders kan altyd op my Telegram-kanaal gevind word "' .
Bron: will.com
