Opet govorim o curenju osobnih podataka, ali ovaj put ću vam reći nešto o zagrobnom životu IT projekata na primjeru dva nedavna otkrića.
Tijekom sigurnosne revizije baze podataka često se dogodi da otkrijete poslužitelje (, napisao sam u blogu) koji pripadaju projektima koji su davno (ili ne tako davno) napustili naš svijet. Takvi projekti čak nastavljaju imitirati život (posao), nalikujući zombijima (prikupljanje osobnih podataka korisnika nakon njihove smrti).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Počnimo s projektom glasnog naziva "Putinov tim" (putinteam.ru).
Poslužitelj s otvorenim MongoDB-om otkriven je 19.04.2019.
Kao što vidite, ransomware je prvi stigao do ove baze:
Baza podataka ne sadrži posebno vrijedne osobne podatke, ali ima e-mail adresa (manje od 1000), imena/prezimena, raspršene lozinke, GPS koordinate (navodno pri registraciji s pametnog telefona), gradove prebivališta i fotografije korisnika stranice koji su kreirali njihov osobni račun na njemu.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Tako puno smeće informacija i praznih zapisa. Na primjer, šifra za pretplatu na newsletter ne provjerava je li upisana email adresa, pa umjesto adrese možete napisati što god želite.
Sudeći prema autorskim pravima na web stranici, projekt je napušten 2018. Svi pokušaji kontaktiranja predstavnika projekta bili su neuspješni. Međutim, na stranici postoje rijetke registracije - postoji imitacija života.
Drugi zombi projekt u mojoj današnjoj analizi je latvijski startup “Roamer” (roamerapp.com/ru).
Dana 21.04.2019. travnja XNUMX. otvorena MongoDB baza podataka mobilne aplikacije “Roamer” otkrivena je na poslužitelju u Njemačkoj.
Baza podataka, veličine 207 MB, javno je dostupna od 24.11.2018. studenog XNUMX. (prema Shodanu)!
Po svim vanjskim znakovima (neispravna e-mail adresa tehničke podrške, neispravne veze na Google Play trgovinu, autorska prava na web stranici iz 2016. itd.) aplikacija je napuštena već dulje vrijeme.
Svojedobno su gotovo svi tematski mediji pisali o ovom startupu:
- VC: "Latvijski startup Roamer ubojica je u roamingu»
- selo: "Roamer: Aplikacija koja smanjuje troškove poziva iz inozemstva»
- lifehacker: "Kako smanjiti troškove komunikacije u roamingu za 10 puta: Roamer»
Čini se da se “ubojica” ubio, ali i kada je mrtav nastavlja otkrivati osobne podatke svojih korisnika...
Sudeći prema analizi podataka u bazi, mnogi korisnici nastavljaju koristiti ovu mobilnu aplikaciju. Unutar nekoliko sati od promatranja pojavila su se 94 nova unosa. A za razdoblje od 27.03.2019. ožujka 10.04.2019. do 66. travnja XNUMX. u aplikaciju se prijavilo XNUMX novih korisnika.
Dnevnici (više od 100 tisuća zapisa) aplikacije s informacijama kao što su:
- korisnički telefon
- pristup tokenima za povijest poziva (dostupno putem poveznica kao što su: api3.roamerapp.com/call/history/1553XXXXXX)
- povijest poziva (brojevi, dolazni ili odlazni poziv, cijena poziva, trajanje, vrijeme poziva)
- mobilnog operatera korisnika
- IP adrese korisnika
- korisnikov model telefona i verzija mobilnog OS-a na njemu (npr. iPhone 7 12.1.4)
- korisnička email adresa
- stanje i valuta korisničkog računa
- zemlja korisnika
- trenutna lokacija (država) korisnika
- promo kodovi
- i još mnogo toga.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Naravno, nije bilo moguće kontaktirati vlasnike baze. Kontakti na stranici ne rade, poruke na društvenim mrežama. na mrežama nitko ne reagira.
Aplikacija je još uvijek dostupna u Apple App Storeu (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu "' .
Izvor: www.habr.com