Yenə şəxsi məlumatların sızmasından danışıram, lakin bu dəfə sizə iki son tapıntı nümunəsindən istifadə edərək İT layihələrinin sonrakı həyatı haqqında bir az danışacağam.
Verilənlər bazası təhlükəsizliyi auditi zamanı tez-tez serverləri aşkar edirsiniz (, bir blogda yazdım) dünyamızı çoxdan tərk etmiş (yaxud da çox keçməmiş) layihələrə aid. Bu cür layihələr hətta zombilərə bənzəyən həyatı (işi) təqlid etməyə davam edir (ölümündən sonra istifadəçilərin şəxsi məlumatlarını toplayır).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.“Putinin komandası” (putinteam.ru) adlı yüksək səslə layihə ilə başlayaq.
Açıq MongoDB ilə server 19.04.2019/XNUMX/XNUMX tarixində kəşf edildi.
Gördüyünüz kimi, ransomware bu bazaya ilk çatan oldu:
Verilənlər bazasında xüsusilə qiymətli şəxsi məlumatlar yoxdur, lakin e-poçt ünvanları (1000-dən az), adlar/soyadlar, heşlənmiş parollar, GPS koordinatları (görünür, smartfonlardan qeydiyyatdan keçərkən), yaşayış şəhərləri və sayt yaratmış sayt istifadəçilərinin fotoşəkilləri var. onların şəxsi hesabı.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Bu qədər çox zibil məlumat və boş qeydlər. Məsələn, xəbər bülleteni abunə kodu e-poçt ünvanının daxil edildiyini yoxlamır, ona görə də ünvan əvəzinə siz istədiyinizi yaza bilərsiniz.
Saytdakı müəllif hüququna görə, layihə 2018-ci ildə tərk edildi. Layihə nümayəndələri ilə əlaqə saxlamaq cəhdləri uğursuz oldu. Bununla belə, saytda nadir qeydiyyatlar var - həyatın imitasiyası var.
Bu gün təhlil etdiyim ikinci zombi layihəsi Latviyanın “Roamer” startapıdır (roamerapp.com/ru).
21.04.2019 aprel XNUMX-cu il tarixində Almaniyada serverdə “Roamer” mobil tətbiqinin açıq MongoDB verilənlər bazası aşkar edildi.
Ölçüsü 207 MB olan verilənlər bazası 24.11.2018 noyabr XNUMX-ci il tarixindən (Shodana görə) ictimaiyyətə açıqdır!
Bütün xarici əlamətlərə görə (texniki dəstək e-poçt ünvanı işləmir, Google Play mağazasına sınıq bağlantılar, 2016-cı ildən vebsaytdakı müəllif hüquqları və s.) Tətbiq uzun müddətdir ki, tərk edilmişdir.
Bir vaxtlar demək olar ki, bütün tematik media bu startap haqqında yazırdı:
- VC: "Latviya startapı Roamer rouminq qatilidir»
- Kənd: "Roamer: Xaricdən gələn zənglərin qiymətini azaldan proqram»
- lifehacker: "Rouminq zamanı rabitə xərclərini necə 10 dəfə azaltmaq olar: Roamer»
“Qatil” özünü öldürmüş kimi görünür, lakin öləndə belə istifadəçilərinin şəxsi məlumatlarını açıqlamaqda davam edir...
Verilənlər bazasındakı məlumatların təhlilinə əsasən, bir çox istifadəçi bu mobil proqramdan istifadə etməyə davam edir. Müşahidədən sonra bir neçə saat ərzində 94 yeni giriş meydana çıxdı. 27.03.2019 mart 10.04.2019-cu il tarixindən 66 aprel XNUMX-cu il tarixədək tətbiqdə XNUMX yeni istifadəçi qeydiyyatdan keçib.
Tətbiqin qeydləri (100 mindən çox qeyd), məsələn:
- istifadəçi telefonu
- zəng tarixçəsi üçün giriş nişanları (məsələn, linklər vasitəsilə əldə edilə bilər: api3.roamerapp.com/call/history/1553XXXXXX)
- zəng tarixçəsi (nömrələr, gələn və ya gedən zəng, zəng qiyməti, müddəti, zəng vaxtı)
- istifadəçinin mobil operatoru
- İstifadəçi IP ünvanları
- istifadəçinin telefon modeli və onun üzərindəki mobil ƏS versiyası (məsələn, iPhone 7 12.1.4)
- istifadəçi e-poçt ünvanı
- istifadəçi hesabı balansı və valyuta
- istifadəçi ölkə
- istifadəçinin cari yeri (ölkəsi).
- promosyon kodları
- və daha çox.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Təbii ki, baza sahibləri ilə əlaqə saxlamaq mümkün olmayıb. Saytdakı kontaktlar işləmir, sosial şəbəkələrdə mesajlar. şəbəkələrdə heç kim reaksiya vermir.
Proqram hələ də Apple App Store-da mövcuddur (itunes.apple.com/app/roamer-roaming-killer/id646368973).
İnformasiya sızması və insayderlər haqqında xəbərləri həmişə mənim Telegram kanalımda tapa bilərsiniz "' .
Mənbə: www.habr.com