Opet govorim o curenju ličnih podataka, ali ovog puta ću vam reći nešto o zagrobnom životu IT projekata na primjeru dva nedavna otkrića.
Tokom revizije sigurnosti baze podataka, često se dešava da otkrijete servere (, napisao sam na blogu) koji pripada projektima koji su odavno (ili ne tako davno) napustili naš svijet. Takvi projekti čak i dalje oponašaju život (rad), nalik na zombije (prikupljanje ličnih podataka korisnika nakon njihove smrti).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Počnimo sa projektom glasnog naziva „Putinov tim“ (putinteam.ru).
Server sa otvorenim MongoDB otkriven je 19.04.2019.
Kao što vidite, ransomware je prvi došao do ove baze:
Baza podataka ne sadrži posebno vrijedne lične podatke, ali postoje adrese e-pošte (manje od 1000), imena/prezimena, heširane lozinke, GPS koordinate (očigledno pri registraciji sa pametnih telefona), gradovi prebivališta i fotografije korisnika sajta koji su kreirali njihov lični račun na njemu.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Veoma musornoj informacije i prazne evidencije. Na primjer, kod za pretplatu na bilten ne provjerava da li je unesena adresa e-pošte, tako da umjesto adrese možete napisati šta god želite.
Sudeći po autorskim pravima na web stranici, projekat je napušten 2018. Svi pokušaji kontaktiranja predstavnika projekta bili su neuspješni. Međutim, na stranici postoje rijetke registracije - postoji imitacija života.
Drugi zombi projekat u mojoj analizi danas je letonski startup “Roamer” (roamerapp.com/ru).
Dana 21.04.2019. aprila XNUMX. na serveru u Njemačkoj otkrivena je otvorena MongoDB baza podataka mobilne aplikacije “Roamer”.
Baza podataka, veličine 207 MB, javno je dostupna od 24.11.2018. novembra XNUMX. (prema Shodan-u)!
Po svim vanjskim znacima (nefunkcionalna email adresa tehničke podrške, neispravni linkovi na Google Play prodavnicu, autorska prava na web stranici od 2016. godine itd.) aplikacija je već duže vrijeme napuštena.
Svojevremeno su skoro svi tematski mediji pisali o ovom startupu:
- VC: "Letonski startup Roamer je ubica rominga»
- selo: "Roamer: Aplikacija koja smanjuje troškove poziva iz inostranstva»
- lifehacker: "Kako smanjiti troškove komunikacije u romingu za 10 puta: Roamer»
Čini se da se “ubica” ubio, ali čak i kada je mrtav nastavlja da otkriva lične podatke svojih korisnika...
Sudeći po analizi informacija u bazi, mnogi korisnici i dalje koriste ovu mobilnu aplikaciju. U roku od nekoliko sati od posmatranja, pojavila su se 94 nova unosa. A za period od 27.03.2019. marta 10.04.2019. do 66. aprila XNUMX. godine u aplikaciji se registrovalo XNUMX novih korisnika.
Dnevnici (više od 100 hiljada zapisa) aplikacije sa informacijama kao što su:
- korisnički telefon
- pristupni tokeni historiji poziva (dostupno putem linkova kao što su: api3.roamerapp.com/call/history/1553XXXXXX)
- historija poziva (brojevi, dolazni ili odlazni poziv, cijena poziva, trajanje, vrijeme poziva)
- mobilni operater korisnika
- IP adrese korisnika
- model telefona korisnika i verzija mobilnog OS na njemu (npr. iPhone 7 12.1.4)
- adresa e-pošte korisnika
- stanje na korisničkom računu i valutu
- zemlja korisnika
- trenutnu lokaciju (zemlju) korisnika
- promotivni kodovi
- i još mnogo toga.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Naravno, nije bilo moguće kontaktirati vlasnike baze. Kontakti na sajtu ne rade, poruke na društvenim mrežama. niko ne reaguje na mrežama.
Aplikacija je još uvijek dostupna na Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu"" .
izvor: www.habr.com