Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Μιλάω ξανά για διαρροές προσωπικών δεδομένων, αλλά αυτή τη φορά θα σας πω λίγα πράγματα για τη μετά θάνατον ζωή των έργων πληροφορικής, χρησιμοποιώντας ως παράδειγμα δύο πρόσφατες ανακαλύψεις.

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Κατά τη διάρκεια ενός ελέγχου ασφάλειας βάσης δεδομένων, συχνά συμβαίνει να εντοπίζετε διακομιστές (πώς να κάνετε αναζήτηση σε βάσεις δεδομένων, έγραψα στο ιστολόγιο), που ανήκουν σε έργα που έχουν εγκαταλείψει τον κόσμο μας προ πολλού (ή όχι και τόσο πολύ καιρό πριν). Τέτοια έργα συνεχίζουν ακόμη και να μιμούνται τη ζωή (την εργασία), μοιάζοντας με ζόμπι (συλλέγοντας προσωπικά δεδομένα χρηστών μετά τον θάνατό τους).

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Ας ξεκινήσουμε με ένα έργο με το ηχηρό όνομα "Η ομάδα του Πούτιν" (putinteam.ru).

Ένας διακομιστής με ανοιχτό MongoDB ανακαλύφθηκε στις 19.04.2019/XNUMX/XNUMX.

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Όπως μπορείτε να δείτε, ο πρώτος που έφτασε σε αυτή τη βάση ήταν ο «εκβιαστής»:

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Η βάση δεδομένων δεν περιέχει ιδιαίτερα πολύτιμα προσωπικά δεδομένα, αλλά περιέχει διευθύνσεις ηλεκτρονικού ταχυδρομείου (λιγότερες από 1000), ονόματα/επώνυμα, κατακερματισμένους κωδικούς πρόσβασης, συντεταγμένες GPS (προφανώς κατά την εγγραφή από smartphone), πόλεις κατοικίας και φωτογραφίες χρηστών του ιστότοπου που έχουν δημιουργήσει τους προσωπικούς τους λογαριασμούς σε αυτόν.

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Τόσα πολλά σκουπίδια πληροφορίες και κενές καταχωρήσεις. Για παράδειγμα, ο κωδικός εγγραφής στο ενημερωτικό δελτίο δεν ελέγχει ότι έχει εισαχθεί διεύθυνση email, επομένως μπορείτε να γράψετε ό,τι θέλετε αντί για διεύθυνση.

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Κρίνοντας από τα πνευματικά δικαιώματα στον ιστότοπο, το έργο εγκαταλείφθηκε το 2018. Όλες οι προσπάθειες επικοινωνίας με τους εκπροσώπους του έργου ήταν ανεπιτυχείς. Ωστόσο, υπάρχουν σπάνιες εγγραφές στον ιστότοπο – είναι μια απομίμηση της ζωής.

Το δεύτερο έργο-ζόμπι στην ανάλυσή μου σήμερα είναι η λετονική νεοσύστατη επιχείρηση «Roamer» (roamerapp.com/ru).

Στις 21.04.2019, ανακαλύφθηκε μια ανοιχτή βάση δεδομένων MongoDB της εφαρμογής για κινητά "Roamer" σε έναν διακομιστή στη Γερμανία.

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Η βάση δεδομένων, μεγέθους 207 MB, είναι δημόσια διαθέσιμη από τις 24.11.2018 (σύμφωνα με τον Shodan)!

Από όλα τα φαινόμενα (μη λειτουργική διεύθυνση email τεχνικής υποστήριξης, κατεστραμμένοι σύνδεσμοι προς το Google Play Store, πνευματικά δικαιώματα στον ιστότοπο από το 2016, κ.λπ.) η εφαρμογή έχει εγκαταλειφθεί εδώ και καιρό.

Έργα ζόμπι - διαρροή δεδομένων χρήστη ακόμη και μετά τον θάνατό τους

Κάποτε, σχεδόν όλα τα θεματικά μέσα ενημέρωσης έγραψαν για αυτήν την εκκίνηση:

  • VC: «Η λετονική νεοσύστατη εταιρεία Roamer είναι «δολοφόνος» της περιαγωγής»
  • το-χωριό: «Roamer: Μια εφαρμογή που μειώνει το κόστος των κλήσεων από το εξωτερικό»
  • lifehacker: «Πώς να μειώσετε το κόστος επικοινωνίας περιαγωγής κατά 10 φορές: Roamer»

Ο «δολοφόνος» φαίνεται να αυτοκτόνησε, αλλά ακόμα και νεκρός συνεχίζει να αποκαλύπτει τα προσωπικά δεδομένα των χρηστών του...

Με βάση την ανάλυση των πληροφοριών στη βάση δεδομένων, πολλοί χρήστες συνεχίζουν να χρησιμοποιούν αυτήν την εφαρμογή για κινητά. Μέσα σε λίγες ώρες παρατήρησης, εμφανίστηκαν 94 νέες καταχωρήσεις. Και κατά την περίοδο από 27.03.2019/10.04.2019/66 έως XNUMX/XNUMX/XNUMX, XNUMX νέοι χρήστες εγγράφηκαν στην εφαρμογή.

Τα αρχεία καταγραφής εφαρμογών (περισσότερες από 100 χιλιάδες εγγραφές) είναι δημόσια διαθέσιμα και περιέχουν πληροφορίες όπως:

  • τηλέφωνο χρήστη
  • διακριτικά πρόσβασης στο ιστορικό κλήσεων (διαθέσιμα μέσω συνδέσμων όπως: api3.roamerapp.com/call/history/1553XXXXXX)
  • ιστορικό κλήσεων (αριθμοί, εισερχόμενη ή εξερχόμενη κλήση, κόστος κλήσης, διάρκεια, χρόνος κλήσης)
  • πάροχος κινητής τηλεφωνίας του χρήστη
  • Διευθύνσεις IP χρηστών
  • το μοντέλο τηλεφώνου του χρήστη και η έκδοση του λειτουργικού συστήματος για κινητά σε αυτό (για παράδειγμα, iPhone 7 12.1.4)
  • διεύθυνση ηλεκτρονικού ταχυδρομείου χρήστη
  • υπόλοιπο λογαριασμού χρήστη και νόμισμα
  • χώρα χρήστη
  • τρέχουσα τοποθεσία (χώρα) του χρήστη
  • κωδικούς προσφοράς
  • και πολλά άλλα.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Φυσικά, δεν ήταν δυνατή η επικοινωνία με τους ιδιοκτήτες της βάσης. Οι επαφές στον ιστότοπο δεν λειτουργούν, μηνύματα στα μέσα κοινωνικής δικτύωσης. Κανείς δεν απαντάει στα δίκτυα.

Η εφαρμογή εξακολουθεί να είναι διαθέσιμη στο Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).

Μπορείτε πάντα να βρείτε ειδήσεις σχετικά με διαρροές πληροφοριών και μυστικά στοιχεία στο κανάλι μου στο Telegram "Διαρροές πληροφοριών» https://t.me/dataleak.

Πηγή: www.habr.com

Αγοράστε αξιόπιστη φιλοξενία για ιστότοπους με προστασία DDoS, διακομιστές VPS VDS 🔥 Αγοράστε αξιόπιστη φιλοξενία ιστοσελίδων με προστασία DDoS, διακομιστές VPS VDS | ProHoster