Μιλάω ξανά για διαρροές προσωπικών δεδομένων, αλλά αυτή τη φορά θα σας πω λίγα λόγια για τη μεταθανάτια ζωή των έργων πληροφορικής χρησιμοποιώντας το παράδειγμα δύο πρόσφατων ευρημάτων.
Κατά τη διάρκεια ενός ελέγχου ασφάλειας βάσης δεδομένων, συμβαίνει συχνά να ανακαλύψετε διακομιστές (, έγραψα σε ένα blog) που ανήκει σε έργα που έχουν από καιρό (ή όχι πολύ καιρό) εγκαταλείψει τον κόσμο μας. Τέτοια έργα συνεχίζουν ακόμη και να μιμούνται τη ζωή (εργασία), μοιάζοντας με ζόμπι (συλλέγοντας προσωπικά δεδομένα των χρηστών μετά τον θάνατό τους).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ας ξεκινήσουμε με ένα έργο με το δυνατό όνομα "Η ομάδα του Πούτιν" (putinteam.ru).
Ένας διακομιστής με ανοιχτό MongoDB ανακαλύφθηκε στις 19.04.2019/XNUMX/XNUMX.
Όπως μπορείτε να δείτε, το ransomware ήταν το πρώτο που έφτασε σε αυτήν τη βάση:
Η βάση δεδομένων δεν περιέχει ιδιαίτερα πολύτιμα προσωπικά δεδομένα, αλλά υπάρχουν διευθύνσεις ηλεκτρονικού ταχυδρομείου (λιγότερες από 1000), ονόματα/επώνυμα, κατακερματισμένοι κωδικοί πρόσβασης, συντεταγμένες GPS (προφανώς κατά την εγγραφή από smartphone), πόλεις διαμονής και φωτογραφίες των χρηστών του ιστότοπου που έχουν δημιουργήσει τον προσωπικό τους λογαριασμό σε αυτό.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Τόσα πολλά σκουπίδια πληροφορίες και κενές εγγραφές. Για παράδειγμα, ο κωδικός εγγραφής στο ενημερωτικό δελτίο δεν ελέγχει ότι έχει εισαχθεί μια διεύθυνση email, επομένως αντί για διεύθυνση, μπορείτε να γράψετε ό,τι θέλετε.
Κρίνοντας από τα πνευματικά δικαιώματα στον ιστότοπο, το έργο εγκαταλείφθηκε το 2018. Όλες οι προσπάθειες επικοινωνίας με τους εκπροσώπους του έργου απέτυχαν. Ωστόσο, υπάρχουν σπάνιες εγγραφές στον ιστότοπο - υπάρχει μια απομίμηση ζωής.
Το δεύτερο έργο ζόμπι στην ανάλυσή μου σήμερα είναι η λετονική startup «Roamer» (roamerapp.com/ru).
Στις 21.04.2019 Απριλίου XNUMX, ανακαλύφθηκε μια ανοιχτή βάση δεδομένων MongoDB της εφαρμογής για κινητά «Roamer» σε διακομιστή στη Γερμανία.
Η βάση δεδομένων, μεγέθους 207 MB, είναι δημόσια διαθέσιμη από τις 24.11.2018 Νοεμβρίου XNUMX (σύμφωνα με τον Shodan)!
Με όλα τα εξωτερικά σημάδια (δεν λειτουργεί διεύθυνση email τεχνικής υποστήριξης, κατεστραμμένοι σύνδεσμοι προς το κατάστημα Google Play, πνευματικά δικαιώματα στον ιστότοπο από το 2016 κ.λπ.) η εφαρμογή έχει εγκαταλειφθεί εδώ και πολύ καιρό.
Κάποτε, σχεδόν όλα τα θεματικά μέσα έγραψαν για αυτήν την εκκίνηση:
- VC: "Η λετονική startup Roamer είναι ένας δολοφόνος περιαγωγής»
- το χωριό: "Roamer: Μια εφαρμογή που μειώνει το κόστος των κλήσεων από το εξωτερικό»
- lifehacker: "Πώς να μειώσετε το κόστος επικοινωνίας κατά την περιαγωγή κατά 10 φορές: Περιαγωγή»
Ο «δολοφόνος» φαίνεται να αυτοκτόνησε, αλλά ακόμα και όταν είναι νεκρός συνεχίζει να αποκαλύπτει τα προσωπικά δεδομένα των χρηστών του...
Κρίνοντας από την ανάλυση των πληροφοριών στη βάση δεδομένων, πολλοί χρήστες συνεχίζουν να χρησιμοποιούν αυτήν την εφαρμογή για κινητά. Μέσα σε λίγες ώρες από την παρατήρηση, εμφανίστηκαν 94 νέες καταχωρήσεις. Και για την περίοδο από 27.03.2019 Μαρτίου 10.04.2019 έως 66 Απριλίου XNUMX, εγγράφηκαν στην εφαρμογή XNUMX νέοι χρήστες.
Αρχεία καταγραφής (πάνω από 100 χιλιάδες εγγραφές) της εφαρμογής με πληροφορίες όπως:
- τηλέφωνο χρήστη
- πρόσβαση σε διακριτικά στο ιστορικό κλήσεων (διατίθεται μέσω συνδέσμων όπως: api3.roamerapp.com/call/history/1553XXXXXX)
- ιστορικό κλήσεων (αριθμοί, εισερχόμενη ή εξερχόμενη κλήση, κόστος κλήσης, διάρκεια, ώρα κλήσης)
- εταιρεία κινητής τηλεφωνίας του χρήστη
- Διευθύνσεις IP χρήστη
- μοντέλο τηλεφώνου χρήστη και έκδοση λειτουργικού συστήματος κινητού (για παράδειγμα, iPhone 7 12.1.4)
- διεύθυνση email χρήστη
- υπόλοιπο λογαριασμού χρήστη και νόμισμα
- χώρα χρήστη
- τρέχουσα τοποθεσία (χώρα) του χρήστη
- κωδικούς προσφοράς
- και πολλά άλλα.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Φυσικά δεν κατέστη δυνατή η επικοινωνία με τους ιδιοκτήτες της βάσης. Οι επαφές στον ιστότοπο δεν λειτουργούν, τα μηνύματα στα μέσα κοινωνικής δικτύωσης. κανείς δεν αντιδρά στα δίκτυα.
Η εφαρμογή είναι ακόμα διαθέσιμη στο Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Μπορείτε πάντα να βρείτε ειδήσεις σχετικά με διαρροές πληροφοριών και μυστικά στοιχεία στο κανάλι μου στο Telegram "» .
Πηγή: www.habr.com