Naghisgot ako bahin sa mga pagtulo sa personal nga datos pag-usab, apan niining higayona isulti ko kanimo ang gamay bahin sa kinabuhi sa mga proyekto sa IT gamit ang panig-ingnan sa duha nga bag-ong nakit-an.
Atol sa pag-audit sa seguridad sa database, kasagaran mahitabo nga madiskubre nimo ang mga server (, nagsulat ko sa usa ka blog) nga nahisakop sa mga proyekto nga dugay na (o dili pa dugay) mibiya sa atong kalibutan. Ang ingon nga mga proyekto nagpadayon bisan sa pagsundog sa kinabuhi (trabaho), susama sa mga zombie (pagkolekta sa personal nga datos sa mga tiggamit pagkahuman sa ilang kamatayon).
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.Magsugod kita sa usa ka proyekto nga adunay kusog nga ngalan nga "Putin's Team" (putinteam.ru).
Usa ka server nga adunay bukas nga MongoDB nadiskubre kaniadtong 19.04.2019/XNUMX/XNUMX.
Sama sa imong nakita, ang ransomware mao ang una nga nakaabot sa kini nga base:
Ang database wala maglangkob sa labi ka bililhon nga personal nga datos, apan adunay mga adres sa email (ubos sa 1000), una nga mga ngalan / apelyido, mga password nga gi-hash, mga coordinate sa GPS (dayag kung nagparehistro gikan sa mga smartphone), mga lungsod nga pinuy-anan ug mga litrato sa mga tiggamit sa site nga naghimo. ang ilang personal nga account niini.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "ΠΠ°Π΄ΠΈΠΌ",
"lastName" : "",
"city" : "Π‘Π°Π½ΠΊΡ-ΠΠ΅ΡΠ΅ΡΠ±ΡΡΠ³",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Daghan kaayo basura impormasyon ug walay sulod nga mga rekord. Pananglitan, ang code sa suskrisyon sa newsletter wala magsusi nga ang usa ka email address gisulod, mao nga imbes usa ka adres, mahimo nimong isulat ang bisan unsang gusto nimo.
Sa paghukom sa copyright sa website, ang proyekto gibiyaan sa 2018. Ang tanan nga pagsulay sa pagkontak sa mga representante sa proyekto wala molampos. Bisan pa, adunay mga talagsa nga pagrehistro sa site - adunay usa ka pagsundog sa kinabuhi.
Ang ikaduha nga proyekto sa zombie sa akong pagtuki karon mao ang Latvian nga pagsugod nga "Roamer" (roamerapp.com/ru).
Niadtong Abril 21.04.2019, XNUMX, usa ka bukas nga database sa MongoDB sa mobile application nga "Roamer" ang nadiskubre sa usa ka server sa Germany.
Ang database, 207 MB ang gidak-on, magamit na sa publiko sukad Nobyembre 24.11.2018, XNUMX (sumala sa Shodan)!
Pinaagi sa tanan nga eksternal nga mga timailhan (dili nagtrabaho sa teknikal nga suporta sa email nga adres, nabuak nga mga link sa Google Play store, copyright sa website gikan sa 2016, ug uban pa) ang aplikasyon gibiyaan sa dugay nga panahon.
Sa usa ka higayon, hapit tanan nga tematik nga media nagsulat bahin sa kini nga pagsugod:
- VC: "Ang Latvian startup Roamer usa ka roaming killerΒ»
- ang-barangay: "Roamer: Usa ka aplikasyon nga makapamenos sa gasto sa mga tawag gikan sa gawas sa nasudΒ»
- lifehacker: "Giunsa pagpakunhod ang gasto sa komunikasyon samtang nag-roaming sa 10 ka beses: RoamerΒ»
Ang "killer" daw nagpatay sa iyang kaugalingon, apan bisan kung patay na siya nagpadayon sa pagbutyag sa personal nga datos sa iyang mga tiggamit ...
Sa paghukom sa pag-analisar sa impormasyon sa database, daghang mga tiggamit ang nagpadayon sa paggamit niini nga mobile application. Sulod sa pipila ka oras sa pag-obserbar, 94 ka bag-ong mga entry ang nagpakita. Ug alang sa panahon gikan sa Marso 27.03.2019, 10.04.2019 hangtod Abril 66, XNUMX, XNUMX ka bag-ong tiggamit ang narehistro sa aplikasyon.
Mga log (labaw sa 100 ka libo nga mga rekord) sa aplikasyon nga adunay kasayuran sama sa:
- user nga telepono
- access tokens sa pagtawag sa kasaysayan (magamit pinaagi sa mga link sama sa: api3.roamerapp.com/call/history/1553XXXXXX)
- kasaysayan sa tawag (mga numero, umaabot o mogawas nga tawag, gasto sa tawag, gidugayon, oras sa pagtawag)
- mobile operator sa tiggamit
- Mga adres sa IP sa tiggamit
- modelo sa telepono sa user ug bersyon sa mobile OS niini (pananglitan, iPhone 7 12.1.4)
- user email address
- balanse sa user account ug currency
- nasud nga tiggamit
- kasamtangan nga lokasyon (nasud) sa tiggamit
- promo code
- ug daghan pa.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Siyempre, dili posible nga makontak ang mga tag-iya sa base. Ang mga kontak sa site dili molihok, mga mensahe sa social media. walay nag-react sa mga network.
Ang app anaa gihapon sa Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Ang mga balita bahin sa mga pagtulo sa impormasyon ug mga insider kanunay nga makit-an sa akong Telegram channel "Β»: .
Source: www.habr.com