Falo de novo de filtracións de datos persoais, pero esta vez falareivos un pouco da vida máis aló dos proxectos informáticos co exemplo de dous descubrimentos recentes.
Durante unha auditoría de seguranza da base de datos, a miúdo ocorre que descobre servidores (, escribín nun blog) pertencentes a proxectos que hai tempo (ou non hai tanto) saíron do noso mundo. Estes proxectos aínda seguen imitando a vida (traballo), asemellando zombies (recopilación de datos persoais dos usuarios despois da súa morte).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Comecemos cun proxecto co nome forte "Putin's Team" (putinteam.ru).
Un servidor con MongoDB aberto foi descuberto o 19.04.2019/XNUMX/XNUMX.
Como podes ver, o ransomware foi o primeiro en chegar a esta base:
A base de datos non contén datos persoais especialmente valiosos, pero hai enderezos de correo electrónico (menos de 1000), nomes/apelidos, contrasinais hash, coordenadas GPS (ao parecer cando se rexistra desde teléfonos intelixentes), cidades de residencia e fotografías dos usuarios do sitio que crearon a súa conta persoal nel.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Moitos lixo información e rexistros baleiros. Por exemplo, o código de subscrición ao boletín informativo non verifica que se introduza un enderezo de correo electrónico, polo que en lugar dun enderezo, podes escribir o que queiras.
A xulgar polos dereitos de autor do sitio web, o proxecto foi abandonado en 2018. Todos os intentos de contactar cos representantes do proxecto non tiveron éxito. Non obstante, hai rexistros raros no sitio: hai unha imitación da vida.
O segundo proxecto zombie da miña análise hoxe é a startup letona "Roamer" (roamerapp.com/ru).
O 21.04.2019 de abril de XNUMX, descubriuse nun servidor de Alemaña unha base de datos aberta de MongoDB da aplicación móbil "Roamer".
A base de datos, de 207 MB de tamaño, está dispoñible publicamente desde o 24.11.2018 de novembro de XNUMX (segundo Shodan).
Por todos os sinais externos (enderezo de correo electrónico de soporte técnico que non funciona, ligazóns rotas á tenda de Google Play, copyright no sitio web desde 2016, etc.) a aplicación estivo abandonada durante moito tempo.
Nun tempo, case todos os medios temáticos escribiron sobre esta startup:
- VC: "A startup letona Roamer é un asasino de itinerancia»
- a aldea: "Roamer: unha aplicación que reduce o custo das chamadas desde o estranxeiro»
- Lifehacker: "Como reducir os custos de comunicación durante a itinerancia 10 veces: Roamer»
O "asasino" parece que se suicidou, pero aínda morto segue revelando os datos persoais dos seus usuarios...
A xulgar pola análise da información na base de datos, moitos usuarios seguen a usar esta aplicación móbil. Ás poucas horas de observación, apareceron 94 novas entradas. E para o período do 27.03.2019 de marzo de 10.04.2019 ao 66 de abril de XNUMX rexistráronse na aplicación XNUMX novos usuarios.
Rexistros (máis de 100 mil rexistros) da aplicación con información como:
- teléfono de usuario
- tokens de acceso ao historial de chamadas (dispoñibles a través de ligazóns como: api3.roamerapp.com/call/history/1553XXXXXX)
- historial de chamadas (números, chamadas entrantes ou saíntes, custo da chamada, duración, tempo da chamada)
- operador móbil do usuario
- Enderezos IP dos usuarios
- modelo de teléfono do usuario e versión do SO móbil nel (por exemplo, iPhone 7 12.1.4)
- enderezo de correo electrónico do usuario
- saldo da conta de usuario e moeda
- país usuario
- localización actual (país) do usuario
- códigos promocionais
- e moito máis.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Por suposto, non foi posible contactar cos propietarios da base. Os contactos do sitio non funcionan, as mensaxes nas redes sociais. ninguén reacciona nas redes.
A aplicación aínda está dispoñible na Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
As noticias sobre filtracións de información e información privilegiada sempre pódense atopar na miña canle de Telegram "" .
Fonte: www.habr.com