Ek praat weer van persoonlike data-lekkasies, maar hierdie keer vertel ek jou 'n bietjie oor die hiernamaals van IT-projekte deur die voorbeeld van twee onlangse vondse te gebruik.
Tydens 'n databasissekuriteitsoudit gebeur dit dikwels dat jy bedieners (
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kom ons begin met 'n projek met die harde naam "Poetin se span" (putinteam.ru).
'n Bediener met oop MongoDB is op 19.04.2019/XNUMX/XNUMX ontdek.
Soos u kan sien, was die ransomware die eerste wat hierdie basis bereik het:
Die databasis bevat nie besonder waardevolle persoonlike data nie, maar daar is e-posadresse (minder as 1000 XNUMX), voorname/vanne, versleutelde wagwoorde, GPS-koΓΆrdinate (blykbaar wanneer daar vanaf slimfone geregistreer word), woonstede en foto's van werfgebruikers wat geskep het. hul persoonlike rekening daarop.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "ΠΠ°Π΄ΠΈΠΌ",
"lastName" : "",
"city" : "Π‘Π°Π½ΠΊΡ-ΠΠ΅ΡΠ΅ΡΠ±ΡΡΠ³",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
So baie vullis inligting en leΓ« rekords. Byvoorbeeld, die nuusbriefintekeningkode kontroleer nie dat 'n e-posadres ingevoer is nie, so in plaas van 'n adres, kan jy skryf wat jy wil.
Te oordeel aan die kopiereg op die webwerf, is die projek in 2018 laat vaar. Alle pogings om projekverteenwoordigers te kontak was onsuksesvol. Daar is egter skaars registrasies op die webwerf - daar is 'n nabootsing van lewe.
Die tweede zombieprojek in my ontleding vandag is die Lettiese opstart "Roamer" (roamerapp.com/ru).
Op 21.04.2019 April XNUMX is 'n oop MongoDB-databasis van die mobiele toepassing "Roamer" op 'n bediener in Duitsland ontdek.
Die databasis, 207 MB groot, is sedert 24.11.2018 November XNUMX publiek beskikbaar (volgens Shodan)!
Deur alle eksterne tekens (nie werkende tegniese ondersteuning-e-posadres nie, stukkende skakels na die Google Play-winkel, kopiereg op die webwerf vanaf 2016, ens.) is die toepassing vir 'n lang tyd laat vaar.
Op 'n tyd het byna alle tematiese media oor hierdie begin geskryf:
- VC: "Lettiese opstart Roamer is 'n roaming-moordenaarΒ»
- die dorpie: "Roamer: 'n Toepassing wat die koste van oproepe vanaf die buiteland verminderΒ»
- lifehacker: "Hoe om kommunikasiekoste tydens swerwing met 10 keer te verminder: RoamerΒ»
Dit lyk of die "moordenaar" homself om die lewe gebring het, maar selfs wanneer hy dood is, gaan hy voort om die persoonlike data van sy gebruikers bekend te maak ...
Te oordeel aan die ontleding van inligting in die databasis, gaan baie gebruikers voort om hierdie mobiele toepassing te gebruik. Binne 'n paar uur na waarneming het 94 nuwe inskrywings verskyn. En vir die tydperk van 27.03.2019 Maart 10.04.2019 tot 66 April XNUMX het XNUMX nuwe gebruikers in die aansoek geregistreer.
Logs (meer as 100 duisend rekords) van die toepassing met inligting soos:
- gebruiker foon
- toegangsbewyse tot oproepgeskiedenis (beskikbaar via skakels soos: api3.roamerapp.com/call/history/1553XXXXXX)
- oproepgeskiedenis (nommers, inkomende of uitgaande oproep, oproepkoste, duur, tyd van oproep)
- gebruiker se selfoonoperateur
- Gebruikers IP-adresse
- gebruiker se foonmodel en mobiele bedryfstelselweergawe daarop (byvoorbeeld, iPhone 7 12.1.4)
- gebruiker e-posadres
- gebruikersrekeningsaldo en geldeenheid
- gebruiker land
- huidige ligging (land) van die gebruiker
- promosiekodes
- en nog baie meer.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Dit was natuurlik nie moontlik om die eienaars van die basis te kontak nie. Kontakte op die webwerf werk nie, boodskappe op sosiale media. niemand reageer op netwerke nie.
Die toepassing is steeds beskikbaar in die Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nuus oor inligtinglekkasies en insiders kan altyd op my Telegram-kanaal gevind word "
Bron: will.com