Jeg taler om personlige datalæk igen, men denne gang vil jeg fortælle dig lidt om efterlivet af it-projekter ved at bruge eksemplet med to nylige fund.
Under en databasesikkerhedsrevision sker det ofte, at du opdager servere (, skrev jeg i en blog), der tilhører projekter, der for længe (eller ikke så længe siden) har forladt vores verden. Sådanne projekter fortsætter endda med at efterligne livet (arbejde), der ligner zombier (indsamler personlige data om brugere efter deres død).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Lad os starte med et projekt med det højlydte navn "Putins team" (putinteam.ru).
En server med åben MongoDB blev opdaget den 19.04.2019/XNUMX/XNUMX.
Som du kan se, var ransomware den første til at nå denne base:
Databasen indeholder ikke særligt værdifulde persondata, men der er e-mailadresser (mindre end 1000), fornavne/efternavne, hashed adgangskoder, GPS-koordinater (tilsyneladende ved tilmelding fra smartphones), bopælsbyer og fotografier af webstedsbrugere, der har oprettet deres personlige konto på den.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Så mange affald oplysninger og tomme registreringer. For eksempel tjekker nyhedsbrevets abonnementskode ikke, at der er indtastet en e-mailadresse, så i stedet for en adresse kan du skrive, hvad du vil.
At dømme efter ophavsretten på hjemmesiden blev projektet opgivet i 2018. Alle forsøg på at kontakte projektrepræsentanter var forgæves. Der er dog sjældne registreringer på siden – der er en efterligning af livet.
Det andet zombieprojekt i min analyse i dag er den lettiske startup "Roamer" (roamerapp.com/ru).
Den 21.04.2019. april XNUMX blev en åben MongoDB-database for mobilapplikationen "Roamer" opdaget på en server i Tyskland.
Databasen, 207 MB i størrelse, har været offentlig tilgængelig siden 24.11.2018. november XNUMX (ifølge Shodan)!
Ved alle eksterne tegn (ikke fungerende teknisk support-e-mailadresse, ødelagte links til Google Play-butikken, copyright på hjemmesiden fra 2016 osv.) er applikationen blevet forladt i lang tid.
På et tidspunkt skrev næsten alle tematiske medier om denne opstart:
- VC: "Den lettiske startup Roamer er en roaming-morder»
- byen: "Roamer: En applikation, der reducerer omkostningerne ved opkald fra udlandet»
- lifehacker: "Sådan reducerer du kommunikationsomkostningerne under roaming med 10 gange: Roamer»
"Dræberen" ser ud til at have dræbt sig selv, men selv når han er død fortsætter han med at afsløre sine brugeres personlige data...
At dømme efter analysen af oplysninger i databasen fortsætter mange brugere med at bruge denne mobilapplikation. Inden for få timers observation dukkede 94 nye indlæg op. Og for perioden fra 27.03.2019. marts 10.04.2019 til 66. april XNUMX er XNUMX nye brugere registreret i applikationen.
Logge (mere end 100 tusind optegnelser) af applikationen med oplysninger som:
- bruger telefon
- adgangstokens til opkaldshistorik (tilgængelig via links som: api3.roamerapp.com/call/history/1553XXXXXX)
- opkaldshistorik (numre, indgående eller udgående opkald, opkaldsomkostninger, varighed, opkaldstidspunkt)
- brugerens mobiloperatør
- Bruger IP-adresser
- brugerens telefonmodel og mobil OS-version på den (f.eks. iPhone 7 12.1.4)
- brugerens e-mailadresse
- brugerkontosaldo og valuta
- brugerland
- brugerens aktuelle placering (land).
- kampagnekoder
- og meget mere.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Det var naturligvis ikke muligt at kontakte ejerne af basen. Kontakter på siden virker ikke, beskeder på sociale medier. ingen reagerer på netværk.
Appen er stadig tilgængelig i Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nyheder om informationslækager og insidere kan altid findes på min Telegram-kanal "»: .
Kilde: www.habr.com