Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Ich möchte erneut über Datenlecks sprechen, aber diesmal erläutere ich ein wenig die Schattenwelt der IT-Projekte anhand zweier kürzlich entdeckter Fälle.

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Bei einer Sicherheitsüberprüfung von Datenbanken stößt man oft auf Server (wie man Datenbanken findet, über die ich in meinem Blog schrieb), die Projekten gehören, die unsere Welt längst (oder nicht allzu lange) verlassen haben. Diese Projekte scheinen sogar weiterhin am Leben zu sein (arbeiten), wie Zombies, indem sie nach ihrem Tod persönliche Daten der Nutzer sammeln.

Haftungsausschluss: Alle Informationen unten werden ausschließlich zu Bildungszwecken veröffentlicht. Der Autor hatte keinen Zugang zu persönlichen Daten Dritter oder Unternehmen. Die Informationen stammen entweder aus öffentlichen Quellen oder wurden dem Autor von anonymen, wohlwollenden Personen zur Verfügung gestellt.

Beginnen wir mit einem Projekt mit dem auffälligen Namen „Putins Team“ (putinteam.ru).

Ein Server mit offener MongoDB wurde am 19.04.2019 entdeckt.

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Wie zu erkennen ist, war zuerst ein „Ransomware-Angreifer“ an dieser Datenbank interessiert:

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

In der Datenbank befinden sich keine besonders wertvollen persönlichen Daten, aber es gibt E-Mail-Adressen (weniger als 1000), Namen/Nachnamen, gehashte Passwörter, GPS-Koordinaten (offenbar bei der Registrierung über Smartphones), Wohnorte und Fotos von Nutzern, die auf der Seite ein persönliches Konto erstellt haben.

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Vadim", 
    "lastName" : "", 
    "city" : "Sankt Petersburg", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Übermäßig viel irrelevanter Informationen und leere Einträge. Zum Beispiel überprüft der Newsletter-Anmeldencode nicht, ob eine E-Mail-Adresse eingegeben wurde, sodass alles Mögliche statt einer Adresse eingegeben werden kann.

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Laut dem Copyright auf der Website wurde das Projekt 2018 eingestellt. Alle Versuche, mit den Projektvertretern Kontakt aufzunehmen, waren erfolglos. Dennoch sind gelegentliche Registrierungen auf der Website zu verzeichnen – als ob es einen Schein von Aktivität gäbe.

Das zweite Zombie-Projekt in meiner heutigen Analyse ist das lettische Startup „Roamer“ (roamerapp.com/ru).

Am 21.04.2019 wurde auf einem Server in Deutschland eine offene MongoDB-Datenbank der mobilen App „Roamer“ entdeckt.

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Die Datenbank, mit einer Größe von 207 MB, ist seit dem 24.11.2018 offen zugänglich (laut Shodan)!

Aufgrund aller äußeren Anzeichen (nicht funktionierende E-Mail-Adresse des technischen Supports, defekte Links zum Google Play Store, Copyright-Datum von 2016 auf der Website usw.) scheint die Anwendung schon lange aufgegeben worden zu sein.

Zombie-Projekte leaken Benutzerdaten selbst nach ihrem Tod.

Zu seiner Zeit berichteten praktisch alle Fachmedien über dieses Start-up:

  • VC: «Das lettische Start-up Roamer – der Killer der Roaming-Gebühren»
  • the-village: «Roamer: Eine App zur Senkung der Kosten für Anrufe aus dem Ausland»
  • lifehacker: «Wie man die Roaming-Kosten um das Zehnfache senkt: Roamer»

„Der Killer“ scheint sich selbst getötet zu haben, aber selbst im Tod gibt er weiterhin persönliche Daten seiner Nutzer preis…

Judging by the analysis of information in the database, many users continue to use this mobile app. In just a few hours, 94 new entries were made. Between 27.03.2019 and 10.04.2019, 66 new users registered in the app.

In der Öffentlichkeit zugänglich sind die Protokolle (über 100.000 Einträge) der App, die Informationen wie Folgendes enthalten:

  • Benutzernummer
  • Zugriffstoken zum Anrufverlauf (verfügbar über Links wie: api3.roamerapp.com/call/history/1553XXXXXX)
  • Anrufverlauf (Nummern, eingehender oder ausgehender Anruf, Gesprächskosten, Dauer, Zeitpunkt des Anrufs)
  • Mobiler Anbieter des Nutzers
  • IP-Adressen des Nutzers
  • Modell des Mobiltelefons des Nutzers und die Version des mobilen Betriebssystems (z. B. iPhone 7 12.1.4)
  • E-Mail-Adresse des Nutzers
  • Kontostand und Währung des Kontos des Nutzers
  • Land des Nutzers
  • Aktueller Standort (Land) des Nutzers
  • Aktionscodes
  • und vieles mehr.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "de-de", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;de;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "DE", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Es war natürlich nicht möglich, die Eigentümer der Datenbank zu kontaktieren. Die Kontaktdaten auf der Webseite funktionieren nicht, auf Nachrichten in sozialen Medien wird nicht reagiert.

Im Apple App Store ist die App nach wie vor verfügbar (itunes.apple.com/app/roamer-roaming-killer/id646368973).

Neuigkeiten über Datenlecks und Insider finden Sie immer auf meinem Telegram-Kanal „Datenlecks»: https://t.me/dataleak.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster