Parlo de nou de filtracions de dades personals, però aquesta vegada us parlaré una mica de la vida més enllà dels projectes informàtics fent servir l'exemple de dues troballes recents.
Durant una auditoria de seguretat de la base de dades, sovint passa que descobriu servidors (, vaig escriure en un bloc) pertanyents a projectes que ja fa temps (o no fa tant) que han sortit del nostre món. Aquests projectes fins i tot continuen imitant la vida (treball), semblant-se als zombis (recollint dades personals dels usuaris després de la seva mort).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Comencem amb un projecte amb el nom fort "Equip de Putin" (putinteam.ru).
El 19.04.2019/XNUMX/XNUMX es va descobrir un servidor amb MongoDB obert.
Com podeu veure, el ransomware va ser el primer a arribar a aquesta base:
La base de dades no conté dades personals especialment valuoses, però hi ha adreces de correu electrònic (menys de 1000), noms/cognoms, contrasenyes hash, coordenades GPS (aparentment quan es registra des de telèfons intel·ligents), ciutats de residència i fotografies dels usuaris del lloc que han creat el seu compte personal.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Molts escombraries informació i registres buits. Per exemple, el codi de subscripció al butlletí no comprova que s'ha introduït una adreça de correu electrònic, de manera que en comptes d'una adreça, podeu escriure el que vulgueu.
A jutjar pels drets d'autor del lloc web, el projecte es va abandonar el 2018. Tots els intents de contactar amb els representants del projecte no van tenir èxit. Tanmateix, hi ha registres rars al lloc: hi ha una imitació de la vida.
El segon projecte zombi de la meva anàlisi avui és la startup letona "Roamer" (roamerapp.com/ru).
El 21.04.2019 d'abril de XNUMX, es va descobrir una base de dades MongoDB oberta de l'aplicació mòbil "Roamer" en un servidor d'Alemanya.
La base de dades, de 207 MB de mida, està disponible públicament des del 24.11.2018 de novembre de XNUMX (segons Shodan)!
Per tots els signes externs (adreça electrònica de suport tècnic que no funciona, enllaços trencats a la botiga de Google Play, drets d'autor al lloc web des de 2016, etc.) l'aplicació ha estat abandonada durant molt de temps.
En un moment, gairebé tots els mitjans temàtics van escriure sobre aquesta startup:
- VC: "La startup letona Roamer és un assassí en itinerància»
- la vila: "Roamer: una aplicació que redueix el cost de les trucades des de l'estranger»
- Lifehacker: "Com reduir 10 vegades els costos de comunicació en itinerància: Roamer»
El "assassí" sembla haver-se suïcidat, però fins i tot quan mor continua revelant les dades personals dels seus usuaris...
A jutjar per l'anàlisi de la informació de la base de dades, molts usuaris continuen utilitzant aquesta aplicació mòbil. A les poques hores d'observació, van aparèixer 94 noves entrades. I per al període del 27.03.2019 de març de 10.04.2019 al 66 d'abril de XNUMX, XNUMX nous usuaris registrats a l'aplicació.
Registres (més de 100 mil registres) de l'aplicació amb informació com ara:
- telèfon de l'usuari
- fitxes d'accés a l'historial de trucades (disponibles mitjançant enllaços com: api3.roamerapp.com/call/history/1553XXXXXX)
- historial de trucades (números, trucada entrant o sortint, cost de trucada, durada, temps de trucada)
- l'operador mòbil de l'usuari
- Adreces IP de l'usuari
- el model de telèfon de l'usuari i la versió del sistema operatiu mòbil (per exemple, iPhone 7 12.1.4)
- adreça de correu electrònic de l'usuari
- saldo del compte d'usuari i moneda
- país usuari
- ubicació actual (país) de l'usuari
- codis promocionals
- i molt més.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Per descomptat, no va ser possible contactar amb els propietaris de la base. Els contactes del lloc no funcionen, els missatges a les xarxes socials. ningú reacciona a les xarxes.
L'aplicació encara està disponible a l'App Store d'Apple (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Les notícies sobre filtracions d'informació i persones privilegiades sempre es poden trobar al meu canal de Telegram "' .
Font: www.habr.com