Mi denove parolas pri personaj datumoj-fuĝoj, sed ĉi-foje mi rakontos al vi iomete pri la postvivo de IT-projektoj uzante la ekzemplon de du lastatempaj trovaĵoj.
Dum datumbaza sekureca revizio, ofte okazas, ke vi malkovras servilojn (, mi skribis en blogo) apartenantaj al projektoj kiuj longe (aŭ antaŭ ne tiom longe) forlasis nian mondon. Tiaj projektoj eĉ daŭre imitas vivon (laboron), similante al zombioj (kolektante personajn datumojn de uzantoj post ilia morto).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Ni komencu per projekto kun la laŭta nomo "Putin's Team" (putinteam.ru).
Servilo kun malfermita MongoDB estis malkovrita la 19.04.2019/XNUMX/XNUMX.
Kiel vi povas vidi, la ransomware estis la unua atingi ĉi tiun bazon:
La datumbazo ne enhavas aparte valorajn personajn datumojn, sed estas retadresoj (malpli ol 1000), antaŭnomoj/familiaj nomoj, hakitaj pasvortoj, GPS-koordinatoj (ŝajne dum registriĝo de saĝtelefonoj), loĝurboj kaj fotoj de retejo-uzantoj kiuj kreis. ilia persona konto pri ĝi.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Tiom da rubo informoj kaj malplenaj rekordoj. Ekzemple, la abonkodo de informilo ne kontrolas, ke retpoŝtadreso estas enigita, do anstataŭ adreso, vi povas skribi kion ajn vi volas.
Juĝante laŭ la kopirajto en la retejo, la projekto estis forlasita en 2018. Ĉiuj provoj kontakti projektreprezentantojn estis malsukcesaj. Tamen, estas maloftaj registriĝoj en la retejo - ekzistas imito de vivo.
La dua zombia projekto en mia analizo hodiaŭ estas la latva starto "Roamer" (roamerapp.com/ru).
La 21.04.2019-an de April, XNUMX, malfermita MongoDB-datumbazo de la movebla aplikaĵo "Roamer" estis malkovrita sur servilo en Germanio.
La datumbazo, 207 MB en grandeco, estas publike havebla ekde la 24.11.2018-a de novembro XNUMX (laŭ Shodan)!
Per ĉiuj eksteraj signoj (ne funkcianta teknika subteno retadreso, rompitaj ligiloj al la Google Play vendejo, kopirajto en la retejo de 2016, ktp) la aplikaĵo estas forlasita dum longa tempo.
Foje preskaŭ ĉiuj temaj amaskomunikiloj skribis pri ĉi tiu starto:
- VC: "Latva noventrepreno Roamer estas vaganta murdisto»
- la-vilaĝo: "Roamer: Apliko kiu reduktas la koston de vokoj el eksterlando»
- vivhakisto: "Kiel redukti komunikadkostojn dum vagado de 10 fojojn: Roamer»
La "murdinto" ŝajnas esti mortiginta sin, sed eĉ mortinte li daŭre malkaŝas la personajn datumojn de siaj uzantoj...
Juĝante laŭ la analizo de informoj en la datumbazo, multaj uzantoj daŭre uzas ĉi tiun moveblan aplikaĵon. Ene de kelkaj horoj da observado aperis 94 novaj enskriboj. Kaj por la periodo de la 27.03.2019-a de marto 10.04.2019 ĝis la 66-a de aprilo XNUMX, XNUMX novaj uzantoj registriĝis en la aplikaĵo.
Registroj (pli ol 100 mil registroj) de la aplikaĵo kun informoj kiel:
- uzanta telefono
- alirĵetonoj por voki historion (disponeblaj per ligiloj kiel: api3.roamerapp.com/call/history/1553XXXXXX)
- vokohistorio (nombroj, envenanta aŭ eksiĝinta voko, vokokosto, daŭro, tempo de voko)
- poŝtelefono de uzanto
- Uzantaj IP-adresoj
- la telefonmodelo de uzanto kaj poŝtelefona OS-versio sur ĝi (ekzemple, iPhone 7 12.1.4)
- retpoŝtadreso de uzanto
- uzantkonto bilanco kaj valuto
- uzanta lando
- aktuala loko (lando) de la uzanto
- reklamaj kodoj
- kaj multe pli.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Kompreneble, ne eblis kontakti la posedantojn de la bazo. Kontaktoj en la retejo ne funkcias, mesaĝoj en sociaj retoj. neniu reagas en retoj.
La programo ankoraŭ haveblas en la Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Novaĵoj pri informfuĝoj kaj internuloj ĉiam troveblas ĉe mia Telegram-kanalo "»: .
fonto: www.habr.com