Parlu di novu di e fughe di dati persunali, ma sta volta vi dicu un pocu di l'ultime vita di i prughjetti IT cù l'esempiu di dui ricenti ritrovi.
Durante un auditu di sicurezza di basa di dati, spessu accade chì scopre i servitori (
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Cuminciamu cù un prughjettu cù u nome forte "Putin's Team" (putinteam.ru).
Un servitore cù MongoDB apertu hè statu scupertu u 19.04.2019/XNUMX/XNUMX.
Comu pudete vede, u ransomware hè statu u primu à ghjunghje à sta basa:
A basa di dati ùn cuntene micca dati persunali particularmente preziosi, ma ci sò indirizzi email (menu di 1000), nomi / cognomi, password hashed, coordenate GPS (apparentemente quandu si registranu da smartphones), cità di residenza è ritratti di l'utilizatori di u situ chì anu creatu. u so contu persunale nantu à questu.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Tanti basura infurmazione è registri vioti. Per esempiu, u codice di abbunamentu di u newsletter ùn verifica micca chì un indirizzu email hè inseritu, cusì invece di un indirizzu, pudete scrive ciò chì vulete.
A ghjudicà da u copyright in u situ web, u prugettu hè statu abbandunatu in 2018. Tutti i tentativi di cuntattà i rapprisentanti di u prughjettu ùn anu micca successu. Tuttavia, ci sò rari registrazioni in u situ - ci hè una imitazione di a vita.
U sicondu prughjettu di zombie in a mo analisi oghje hè a startup lettona "Roamer" (roamerapp.com/ru).
U 21.04.2019 d'aprile di u XNUMX, una basa di dati MongoDB aperta di l'applicazione mobile "Roamer" hè stata scuperta in un servitore in Germania.
A basa di dati, 207 MB in grandezza, hè dispunibule publicamente da u 24.11.2018 di nuvembre di u XNUMX (sicondu Shodan) !
Per tutti i segni esterni (micca funziunamentu di l'indirizzu email di supportu tecnicu, ligami rotti à a tenda di Google Play, copyright in u situ web da 2016, etc.) l'applicazione hè stata abbandunata per un bellu pezzu.
À un tempu, quasi tutti i media tematichi anu scrittu annantu à questa startup:
- VC: "A startup lettone Roamer hè un killer in roaming»
- u paese : "Roamer: Una applicazione chì riduce u costu di e chjama da l'esteru»
- pirate di vita: "Cumu riduce i costi di cumunicazione in roaming di 10 volte: Roamer»
U "assassinu" pare chì s'hè tombu, ma ancu quandu hè mortu cuntinueghja à divulgà i dati persunali di i so utilizatori...
A ghjudicà da l'analisi di l'infurmazioni in a basa di dati, assai utilizatori cuntinueghjanu à aduprà sta applicazione mobile. In poche ore di osservazione, 94 novi entrate apparsu. È per u periodu da u 27.03.2019 di marzu di u 10.04.2019 à u 66 d'aprile di u XNUMX, XNUMX novi utilizatori registrati in l'applicazione.
Logs (più di 100 mila record) di l'applicazione cù informazioni cum'è:
- telefonu d'utilizatore
- tokens d'accessu per chjamà a storia (dispunibule attraversu ligami cum'è: api3.roamerapp.com/call/history/1553XXXXXX)
- a storia di a chjama (numeri, chjama entrante o in uscita, costu di chjama, durata, tempu di chjama)
- operatore mobile di l'utilizatore
- Indirizzi IP di l'utilizatori
- U mudellu di u telefuninu di l'utilizatore è a versione di u SO mobile nantu à questu (per esempiu, iPhone 7 12.1.4)
- indirizzu email d'utilizatore
- saldo di u contu d'utilizatore è valuta
- paese di l'utilizatori
- locu attuale (paese) di l'utilizatore
- codici promozionale
- è assai più.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Di sicuru, ùn era micca pussibule di cuntattà i pruprietarii di a basa. Cuntatti nant'à u situ ùn travaglià, missaghji nant'à e social media. nimu ùn reagisce à e rete.
L'app hè sempre dispunibule nantu à l'App Store di Apple (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nutizie nantu à e fughe di informazioni è insiders ponu sempre esse truvate nantu à u mo canale Telegram "
Source: www.habr.com