Ich spreche wieder von persönlichen Datenlecks, aber dieses Mal erzähle ich Ihnen am Beispiel zweier aktueller Funde ein wenig über das Nachleben von IT-Projekten.
Während einer Datenbanksicherheitsüberprüfung kommt es häufig vor, dass Sie Server entdecken (, schrieb ich in einem Blog) gehören zu Projekten, die unsere Welt schon vor langer Zeit (oder vor nicht allzu langer Zeit) verlassen haben. Solche Projekte imitieren sogar weiterhin das Leben (die Arbeit) und ähneln Zombies (die personenbezogene Daten der Benutzer nach ihrem Tod sammeln).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Beginnen wir mit einem Projekt mit dem lauten Namen „Putins Team“ (putinteam.ru).
Am 19.04.2019 wurde ein Server mit geöffneter MongoDB entdeckt.
Wie Sie sehen können, war die Ransomware die erste, die diese Basis erreichte:
Die Datenbank enthält keine besonders wertvollen persönlichen Daten, aber E-Mail-Adressen (weniger als 1000), Vor- und Nachnamen, gehashte Passwörter, GPS-Koordinaten (anscheinend bei der Registrierung über Smartphones), Wohnorte und Fotos von erstellten Website-Benutzern ihr persönliches Konto darauf.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Viele Müll Informationen und leere Datensätze. Beispielsweise prüft der Newsletter-Anmeldecode nicht, ob eine E-Mail-Adresse eingegeben wurde, sodass Sie anstelle einer Adresse schreiben können, was Sie möchten.
Dem Urheberrecht auf der Website nach zu urteilen, wurde das Projekt 2018 aufgegeben. Alle Versuche, mit Projektvertretern Kontakt aufzunehmen, blieben erfolglos. Allerdings gibt es seltene Anmeldungen auf der Seite – es handelt sich um eine Nachahmung des Lebens.
Das zweite Zombie-Projekt in meiner heutigen Analyse ist das lettische Startup „Roamer“ (roamerapp.com/ru).
Am 21.04.2019. April XNUMX wurde auf einem Server in Deutschland eine offene MongoDB-Datenbank der mobilen Anwendung „Roamer“ entdeckt.
Die 207 MB große Datenbank ist seit dem 24.11.2018. November XNUMX öffentlich zugänglich (laut Shodan)!
Aufgrund aller äußeren Anzeichen (nicht funktionierende E-Mail-Adresse für den technischen Support, defekte Links zum Google Play Store, Urheberrecht auf der Website aus dem Jahr 2016 usw.) wurde die Anwendung schon seit langem aufgegeben.
Fast alle thematischen Medien schrieben einst über dieses Startup:
- VC: „Das lettische Startup Roamer ist ein Roaming-Killer»
- das Dorf: "Roamer: Eine Anwendung, die die Kosten für Anrufe aus dem Ausland senkt»
- Lifehacker: „So reduzieren Sie die Kommunikationskosten beim Roaming um das Zehnfache: Roamer»
Der „Mörder“ scheint sich selbst getötet zu haben, doch selbst nach seinem Tod gibt er weiterhin die persönlichen Daten seiner Nutzer preis …
Der Analyse der Informationen in der Datenbank zufolge nutzen viele Benutzer diese mobile Anwendung weiterhin. Innerhalb weniger Stunden nach der Beobachtung erschienen 94 neue Einträge. Und für den Zeitraum vom 27.03.2019. März 10.04.2019 bis 66. April XNUMX haben sich XNUMX neue Benutzer in der Anwendung registriert.
Protokolle (mehr als 100 Datensätze) der Anwendung mit Informationen wie:
- Benutzertelefon
- Zugriffstoken auf den Anrufverlauf (verfügbar über Links wie: api3.roamerapp.com/call/history/1553XXXXXX)
- Anrufverlauf (Nummern, eingehender oder ausgehender Anruf, Anrufkosten, Dauer, Anrufzeit)
- Mobilfunkanbieter des Benutzers
- Benutzer-IP-Adressen
- Telefonmodell und mobile Betriebssystemversion des Benutzers (z. B. IPhone 7 12.1.4)
- E-Mail-Adresse des Benutzers
- Kontostand und Währung des Benutzerkontos
- Benutzerland
- aktueller Standort (Land) des Benutzers
- Gutscheincodes
- und vieles mehr.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Natürlich war es nicht möglich, die Besitzer der Basis zu kontaktieren. Kontakte auf der Website funktionieren nicht, Nachrichten in sozialen Medien. Niemand reagiert auf Netzwerke.
Die App ist weiterhin im Apple App Store verfügbar (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Neuigkeiten zu Informationslecks und Insidern finden Sie immer auf meinem Telegram-Kanal.»: .
Source: habr.com