Je parle encore des fuites de données personnelles, mais cette fois je vais vous parler un peu de l’au-delà des projets informatiques en prenant l’exemple de deux découvertes récentes.
Lors d'un audit de sécurité de base de données, il arrive souvent que vous découvriez des serveurs (, ai-je écrit sur un blog) appartenant à des projets qui ont quitté notre monde depuis longtemps (ou pas si longtemps). De tels projets continuent même d'imiter la vie (le travail), ressemblant à des zombies (collectant les données personnelles des utilisateurs après leur mort).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Commençons par un projet au nom bruyant « L’équipe de Poutine » (putinteam.ru).
Un serveur avec MongoDB ouvert a été découvert le 19.04.2019/XNUMX/XNUMX.
Comme vous pouvez le constater, le ransomware a été le premier à atteindre cette base :
La base de données ne contient pas de données personnelles particulièrement précieuses, mais on y trouve des adresses e-mail (moins de 1000), des prénoms/noms, des mots de passe hachés, des coordonnées GPS (apparemment lors de l'inscription depuis un smartphone), des villes de résidence et des photographies des utilisateurs du site qui ont créé leur compte personnel dessus.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Beaucoup de ordures informations et enregistrements vides. Par exemple, le code d'abonnement à la newsletter ne vérifie pas qu'une adresse email est renseignée, donc à la place d'une adresse, vous pouvez écrire ce que vous voulez.
À en juger par les droits d'auteur sur le site Web, le projet a été abandonné en 2018. Toutes les tentatives pour contacter les représentants du projet ont échoué. Cependant, il existe de rares inscriptions sur le site - il y a une imitation de la vie.
Le deuxième projet zombie dans mon analyse aujourd'hui est la startup lettone « Roamer » (roamerapp.com/ru).
Le 21.04.2019 avril XNUMX, une base de données MongoDB ouverte de l'application mobile « Roamer » a été découverte sur un serveur en Allemagne.
La base de données, d'une taille de 207 Mo, est accessible au public depuis le 24.11.2018 novembre XNUMX (selon Shodan) !
Par tous les signes extérieurs (adresse e-mail du support technique qui ne fonctionne pas, liens rompus vers le Google Play Store, droits d'auteur sur le site Web de 2016, etc.), l'application est abandonnée depuis longtemps.
À une époque, presque tous les médias thématiques écrivaient sur cette startup :
- CV : "La startup lettone Roamer est un tueur en itinérance»
- le village: "Roamer : Une application qui réduit le coût des appels depuis l'étranger»
- pirate de la vie : "Comment réduire de 10 fois les coûts de communication en itinérance : Roamer»
Le « tueur » semble s'être suicidé, mais même mort, il continue de divulguer les données personnelles de ses utilisateurs...
À en juger par l'analyse des informations contenues dans la base de données, de nombreux utilisateurs continuent d'utiliser cette application mobile. En quelques heures d’observation, 94 nouvelles entrées sont apparues. Et pour la période du 27.03.2019 mars 10.04.2019 au 66 avril XNUMX, XNUMX nouveaux utilisateurs se sont inscrits dans l'application.
Journaux (plus de 100 XNUMX enregistrements) de l'application avec des informations telles que :
- téléphone de l'utilisateur
- jetons d'accès à l'historique des appels (disponibles via des liens tels que : api3.roamerapp.com/call/history/1553XXXXXX)
- historique des appels (numéros, appel entrant ou sortant, coût de l'appel, durée, heure de l'appel)
- opérateur mobile de l'utilisateur
- Adresses IP des utilisateurs
- le modèle de téléphone de l'utilisateur et la version du système d'exploitation mobile (par exemple, iPhone 7 12.1.4)
- adresse e-mail de l'utilisateur
- solde et devise du compte utilisateur
- pays utilisateur
- emplacement actuel (pays) de l'utilisateur
- codes promotionnels
- И многое другое.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Bien entendu, il n'a pas été possible de contacter les propriétaires de la base. Les contacts sur le site ne fonctionnent pas, les messages sur les réseaux sociaux. personne ne réagit sur les réseaux.
L'application est toujours disponible sur l'App Store d'Apple (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Les nouvelles sur les fuites d'informations et les initiés peuvent toujours être trouvées sur ma chaîne Telegram "»: .
Source: habr.com