Vuelvo a hablar de filtraciones de datos personales, pero esta vez les contaré un poco sobre la vida futura de los proyectos de TI usando el ejemplo de dos hallazgos recientes.
Durante una auditoría de seguridad de una base de datos, a menudo sucede que descubre servidores (, escribí en un blog) pertenecientes a proyectos que hace mucho (o no hace mucho) abandonaron nuestro mundo. Estos proyectos incluso siguen imitando la vida (el trabajo), pareciéndose a los zombis (recopilando datos personales de los usuarios después de su muerte).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Comencemos con un proyecto con el fuerte nombre de “Equipo de Putin” (putinteam.ru).
Un servidor con MongoDB abierto fue descubierto el 19.04.2019/XNUMX/XNUMX.
Como puedes ver, el ransomware fue el primero en llegar a esta base:
La base de datos no contiene datos personales particularmente valiosos, pero hay direcciones de correo electrónico (menos de 1000), nombres/apellidos, contraseñas hash, coordenadas GPS (aparentemente al registrarse desde teléfonos inteligentes), ciudades de residencia y fotografías de los usuarios del sitio que han creado su cuenta personal en él.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Mucho mucho basura información y registros vacíos. Por ejemplo, el código de suscripción al boletín no comprueba que se introduzca una dirección de correo electrónico, por lo que en lugar de una dirección, puedes escribir lo que quieras.
A juzgar por los derechos de autor del sitio web, el proyecto fue abandonado en 2018. Todos los intentos de contactar a los representantes del proyecto fueron infructuosos. Sin embargo, hay registros raros en el sitio: hay una imitación de la vida.
El segundo proyecto zombie en mi análisis de hoy es la startup letona “Roamer” (roamerapp.com/ru).
El 21.04.2019 de abril de XNUMX, se descubrió una base de datos MongoDB abierta de la aplicación móvil “Roamer” en un servidor en Alemania.
¡La base de datos, de 207 MB de tamaño, ha estado disponible públicamente desde el 24.11.2018 de noviembre de XNUMX (según Shodan)!
Por todos los signos externos (dirección de correo electrónico de soporte técnico que no funciona, enlaces rotos a la tienda Google Play, derechos de autor en el sitio web de 2016, etc.), la aplicación ha estado abandonada durante mucho tiempo.
En un momento, casi todos los medios temáticos escribieron sobre esta startup:
- VC: "La startup letona Roamer es un asesino itinerante»
- La aldea: "Roamer: Una aplicación que reduce el coste de las llamadas desde el extranjero»
- Hacker de vida: "Cómo reducir 10 veces los costos de comunicación en roaming: Roamer»
El “asesino” parece haberse suicidado, pero incluso muerto sigue revelando los datos personales de sus usuarios...
A juzgar por el análisis de la información de la base de datos, muchos usuarios siguen utilizando esta aplicación móvil. A las pocas horas de observación, aparecieron 94 nuevas entradas. Y para el periodo del 27.03.2019 de marzo de 10.04.2019 al 66 de abril de XNUMX, se registraron XNUMX nuevos usuarios en la aplicación.
Logs (más de 100 mil registros) de la aplicación con información como:
- teléfono de usuario
- tokens de acceso al historial de llamadas (disponibles a través de enlaces como: api3.roamerapp.com/call/history/1553XXXXXX)
- historial de llamadas (números, llamadas entrantes o salientes, costo de la llamada, duración, hora de la llamada)
- operador móvil del usuario
- Direcciones IP de usuario
- el modelo de teléfono del usuario y la versión del sistema operativo móvil (por ejemplo, iPhone 7 12.1.4)
- dirección de correo electrónico del usuario
- Saldo y moneda de la cuenta de usuario.
- país del usuario
- ubicación actual (país) del usuario
- códigos promocionales
- И многое другое.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Por supuesto, no fue posible contactar con los propietarios de la base. Los contactos en el sitio no funcionan, mensajes en las redes sociales. nadie reacciona en las redes.
La aplicación todavía está disponible en la App Store de Apple (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Las noticias sobre filtraciones de información y personas con información privilegiada siempre se pueden encontrar en mi canal de Telegram "»: .
Fuente: habr.com