ProHoster > blog > Gweinyddiaeth > Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Rwy’n sôn am ollyngiadau data personol eto, ond y tro hwn byddaf yn dweud ychydig wrthych am ôl-fywyd prosiectau TG gan ddefnyddio enghraifft dau ddarganfyddiad diweddar.

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Yn ystod archwiliad diogelwch cronfa ddata, mae'n aml yn digwydd eich bod yn darganfod gweinyddwyr (sut i chwilio cronfeydd data, ysgrifennais mewn blog) yn perthyn i brosiectau sydd wedi gadael ein byd ers tro (neu ddim mor bell yn ôl). Mae prosiectau o'r fath hyd yn oed yn parhau i ddynwared bywyd (gwaith), yn debyg i zombies (casglu data personol defnyddwyr ar ôl eu marwolaeth).

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Gadewch i ni ddechrau gyda phrosiect gyda'r enw uchel "Tîm Putin" (putinteam.ru).

Darganfuwyd gweinydd gyda MongoDB agored ar 19.04.2019/XNUMX/XNUMX.

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Fel y gallwch weld, y ransomware oedd y cyntaf i gyrraedd y sylfaen hon:

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Nid yw'r gronfa ddata yn cynnwys data personol arbennig o werthfawr, ond mae cyfeiriadau e-bost (llai na 1000), enwau cyntaf/cyfenwau, cyfrineiriau wedi'u stwnsio, cyfesurynnau GPS (yn ôl pob tebyg wrth gofrestru o ffonau clyfar), dinasoedd preswyl a ffotograffau o ddefnyddwyr y safle sydd wedi creu eu cyfrif personol arno. 

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Cymaint sothach gwybodaeth a chofnodion gwag. Er enghraifft, nid yw cod tanysgrifio'r cylchlythyr yn gwirio bod cyfeiriad e-bost wedi'i nodi, felly yn lle cyfeiriad, gallwch chi ysgrifennu beth bynnag rydych chi ei eisiau.

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

A barnu yn ôl yr hawlfraint ar y wefan, rhoddwyd y gorau i’r prosiect yn 2018. Bu pob ymgais i gysylltu â chynrychiolwyr y prosiect yn aflwyddiannus. Fodd bynnag, mae cofrestriadau prin ar y safle - mae yna ddynwarediad o fywyd.

Yr ail brosiect zombie yn fy nadansoddiad heddiw yw cychwyniad Latfia “Roamer” (roamerapp.com/ru).

Ar Ebrill 21.04.2019, XNUMX, darganfuwyd cronfa ddata MongoDB agored o'r cymhwysiad symudol “Roamer” ar weinydd yn yr Almaen.

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Mae'r gronfa ddata, maint 207 MB, wedi bod ar gael i'r cyhoedd ers Tachwedd 24.11.2018, XNUMX (yn ôl Shodan)!

Gan bob arwydd allanol (cyfeiriad e-bost cymorth technegol nad yw'n gweithio, dolenni wedi'u torri i siop Google Play, hawlfraint ar y wefan o 2016, ac ati) mae'r cais wedi'i adael ers amser maith.

Prosiectau Zombie - yn gollwng data defnyddwyr hyd yn oed ar ôl eu marwolaeth

Ar un adeg, ysgrifennodd bron pob cyfrwng thematig am y cychwyn hwn:

  • VC:"Cychwynnwr Latfia Mae Roamer yn lladdwr crwydro»
  • y-pentref:"Crwydryn: Cais sy'n lleihau cost galwadau o dramor»
  • achubwr bywyd: "Sut i leihau costau cyfathrebu wrth grwydro 10 gwaith: Crwydryn»

Mae’n ymddangos bod y “llofrudd” wedi lladd ei hun, ond hyd yn oed pan fu farw mae’n parhau i ddatgelu data personol ei ddefnyddwyr...

A barnu yn ôl y dadansoddiad o wybodaeth yn y gronfa ddata, mae llawer o ddefnyddwyr yn parhau i ddefnyddio'r cymhwysiad symudol hwn. O fewn ychydig oriau o arsylwi, ymddangosodd 94 o gofnodion newydd. Ac am y cyfnod rhwng Mawrth 27.03.2019, 10.04.2019 ac Ebrill 66, XNUMX, cofrestrodd XNUMX o ddefnyddwyr newydd yn y cais.

Logiau (mwy na 100 mil o gofnodion) o'r cais gyda gwybodaeth fel:

  • ffôn defnyddiwr
  • tocynnau mynediad i hanes galwadau (ar gael trwy ddolenni fel: api3.roamerapp.com/call/history/1553XXXXXX)
  • hanes galwadau (rhifau, galwad sy'n dod i mewn neu'n mynd allan, cost galwadau, hyd, amser yr alwad)
  • gweithredwr ffôn symudol y defnyddiwr
  • Cyfeiriadau IP defnyddiwr
  • model ffôn defnyddiwr a fersiwn OS symudol arno (er enghraifft, iPhone 7 12.1.4)
  • cyfeiriad e-bost defnyddiwr
  • balans cyfrif defnyddiwr ac arian cyfred
  • gwlad defnyddiwr
  • lleoliad presennol (gwlad) y defnyddiwr
  • codau hyrwyddo
  • a llawer mwy.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Wrth gwrs, nid oedd yn bosibl cysylltu â pherchnogion y ganolfan. Nid yw cysylltiadau ar y safle yn gweithio, negeseuon ar gyfryngau cymdeithasol. does neb yn ymateb ar rwydweithiau.

Mae'r ap ar gael o hyd ar yr Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).

Mae newyddion am ollyngiadau gwybodaeth a mewnwyr i'w gweld bob amser ar fy sianel Telegram "Gwybodaeth yn gollwng' https://t.me/dataleak.

Ffynhonnell: hab.com

Ychwanegu sylw