Ik haw it wer oer persoanlike gegevenslekken, mar dizze kear sil ik jo in bytsje fertelle oer it neilibjen fan IT-projekten mei it foarbyld fan twa resinte fynsten.
Tidens in databankfeiligenskontrôle bart it faak dat jo servers (, Ik skreau yn in blog) dy't hearre ta projekten dy't lang (of net sa lang lyn) ús wrâld hawwe ferlitten. Sokke projekten bliuwe sels it libben (wurk) imitearje, lykje op zombies (sammelje persoanlike gegevens fan brûkers nei har dea).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Litte wy begjinne mei in projekt mei de lûde namme "Putin's Team" (putinteam.ru).
In tsjinner mei iepen MongoDB waard ûntdutsen op 19.04.2019/XNUMX/XNUMX.
Lykas jo kinne sjen, wie de ransomware de earste dy't dizze basis berikte:
De databank befettet gjin bysûnder weardefolle persoanlike gegevens, mar d'r binne e-mailadressen (minder dan 1000), foarnammen/efternammen, hashed wachtwurden, GPS-koördinaten (neiskynlik by registrearjen fan smartphones), wensteden en foto's fan side-brûkers dy't makke hawwe harren persoanlike account op it.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Safolle jiskefet ynformaasje en lege records. Bygelyks, de abonnemintskoade foar de nijsbrief kontrolearret net dat in e-mailadres is ynfierd, dus ynstee fan in adres kinne jo skriuwe wat jo wolle.
Neffens it copyright op 'e webside waard it projekt yn 2018 ferlitten. Alle besykjen om kontakt opnimme mei projektfertsjintwurdigers wiene net slagge. D'r binne lykwols seldsume registraasjes op 'e side - d'r is in imitaasje fan it libben.
It twadde zombieprojekt yn myn analyze hjoed is de Letske opstart "Roamer" (roamerapp.com/ru).
Op 21.04.2019 april XNUMX waard in iepen MongoDB-database fan 'e mobile applikaasje "Roamer" ûntdutsen op in tsjinner yn Dútslân.
De databank, 207 MB yn grutte, is sûnt 24.11.2018 novimber XNUMX iepenbier beskikber (neffens Shodan)!
Troch alle eksterne tekens (net wurkje e-mailadres foar technyske stipe, brutsen keppelings nei de Google Play-winkel, copyright op 'e webside fan 2016, ensfh.) is de applikaasje foar in lange tiid ferlitten.
Op ien kear skreaunen hast alle tematyske media oer dizze opstart:
- VC: "Letsk startup Roamer is in roaming killer»
- it doarp: "Roamer: In applikaasje dy't de kosten fan petearen út it bûtenlân ferleget»
- lifehacker: "Hoe kinne jo kommunikaasjekosten ferminderje by roaming mei 10 kear: Roamer»
De "moardner" liket himsels fermoarde te hawwen, mar sels as dea bliuwt hy de persoanlike gegevens fan syn brûkers iepenbierje ...
Beoardielje troch de analyze fan ynformaasje yn 'e databank, bliuwe in protte brûkers dizze mobile applikaasje brûke. Binnen in pear oeren nei observaasje ferskynden 94 nije ynstjoerings. En foar de perioade fan 27.03.2019 maart 10.04.2019 oant 66 april XNUMX, registrearre XNUMX nije brûkers yn 'e applikaasje.
Logs (mear dan 100 tûzen records) fan 'e applikaasje mei ynformaasje lykas:
- brûker telefoan
- tagong tokens om skiednis te skiljen (beskikber fia keppelings lykas: api3.roamerapp.com/call/history/1553XXXXXX)
- opropskiednis (nûmers, ynkommende of útgeande oprop, opropkosten, doer, tiid fan oprop)
- brûker syn mobile operator
- Brûker IP-adressen
- brûker syn telefoan model en mobile OS ferzje derop (bygelyks, iPhone 7 12.1.4)
- brûker e-mailadres
- brûker account lykwicht en faluta
- brûker lân
- hjoeddeistige lokaasje (lân) fan de brûker
- promo koades
- en folle mear.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Fansels wie it net mooglik om kontakt op te nimmen mei de eigners fan de basis. Kontakten op 'e side wurkje net, berjochten op sosjale media. gjinien reagearret op netwurken.
De app is noch altyd beskikber yn 'e Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nijs oer ynformaasjelekken en ynsiders kinne altyd fûn wurde op myn Telegram-kanaal "»: .
Boarne: www.habr.com