Ես նորից խոսում եմ անձնական տվյալների արտահոսքի մասին, բայց այս անգամ ես ձեզ մի փոքր կպատմեմ ՏՏ նախագծերի հետագա կյանքի մասին՝ օգտագործելով երկու վերջին գտածոների օրինակը:
Տվյալների բազայի անվտանգության աուդիտի ժամանակ հաճախ է պատահում, որ դուք հայտնաբերում եք սերվերներ (
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Սկսենք «Պուտինի թիմ» բարձր անվանումով նախագծից (putinteam.ru):
Բաց MongoDB-ով սերվերը հայտնաբերվել է 19.04.2019թ.
Ինչպես տեսնում եք, փրկագինն առաջինն էր, ով հասավ այս բազային.
Տվյալների բազան առանձնապես արժեքավոր անձնական տվյալներ չի պարունակում, սակայն կան էլփոստի հասցեներ (1000-ից պակաս), անուն/ազգանուն, հաշված գաղտնաբառեր, GPS կոորդինատներ (ըստ երևույթին սմարթֆոններից գրանցվելիս), բնակության քաղաքներ և կայքի օգտատերերի լուսանկարներ, որոնք ստեղծել են: նրանց անձնական հաշիվը դրա վրա:
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Այնքան շատ աղբ տեղեկատվություն և դատարկ գրառումներ: Օրինակ, տեղեկագրի բաժանորդագրության կոդը չի ստուգում, որ էլփոստի հասցե է մուտքագրված, ուստի հասցեի փոխարեն կարող եք գրել այն, ինչ ուզում եք:
Դատելով կայքի հեղինակային իրավունքից՝ նախագիծը լքվել է 2018թ. Ծրագրի ներկայացուցիչների հետ կապ հաստատելու բոլոր փորձերն անհաջող էին: Այնուամենայնիվ, կայքում հազվադեպ գրանցումներ կան՝ կյանքի իմիտացիա կա։
Այսօր իմ վերլուծության մեջ երկրորդ զոմբի նախագիծը լատվիական «Roamer» ստարտափն է (roamerapp.com/ru):
21.04.2019 թվականի ապրիլի XNUMX-ին Գերմանիայում սերվերի վրա հայտնաբերվել է «Roamer» բջջային հավելվածի բաց MongoDB տվյալների բազա:
Տվյալների բազան՝ 207 ՄԲ չափով, հանրությանը հասանելի է 24.11.2018 թվականի նոյեմբերի XNUMX-ից (ըստ Շոդանի):
Արտաքին բոլոր նշաններով (չաշխատող տեխնիկական աջակցության էլ. հասցե, Google Play խանութի կոտրված հղումներ, 2016 թվականից կայքի հեղինակային իրավունք և այլն) հավելվածը երկար ժամանակ լքված է:
Ժամանակին գրեթե բոլոր թեմատիկ լրատվամիջոցներն այս ստարտափի մասին գրում էին.
- VC:Լատվիական Roamer ստարտափը ռոումինգի մարդասպան է»
- գյուղը: "Roamer. Հավելված, որը նվազեցնում է արտասահմանից զանգերի արժեքը»
- lifehacker.Ինչպես նվազեցնել կապի ծախսերը ռոումինգում 10 անգամ. Roamer»
«Մարդասպանը» կարծես թե սպանել է իրեն, բայց նույնիսկ մահացած ժամանակ նա շարունակում է հրապարակել իր օգտատերերի անձնական տվյալները...
Դատելով տվյալների բազայում առկա տեղեկատվության վերլուծությունից՝ շատ օգտատերեր շարունակում են օգտվել այս բջջային հավելվածից։ Դիտարկումից հետո մի քանի ժամվա ընթացքում 94 նոր գրառում է հայտնվել։ Իսկ 27.03.2019 թվականի մարտի 10.04.2019-ից մինչև 66 թվականի ապրիլի XNUMX-ն ընկած ժամանակահատվածում հավելվածում գրանցվել է XNUMX նոր օգտատեր։
Հավելվածի տեղեկամատյանները (ավելի քան 100 հազար գրառում) տեղեկություններով, ինչպիսիք են.
- օգտագործողի հեռախոս
- մուտք գործելու նշաններ զանգերի պատմության համար (հասանելի է հետևյալ հղումների միջոցով՝ api3.roamerapp.com/call/history/1553XXXXXX)
- զանգերի պատմություն (համարներ, մուտքային կամ ելքային զանգ, զանգի արժեքը, տևողությունը, զանգի ժամանակը)
- օգտագործողի բջջային օպերատոր
- Օգտագործողի IP հասցեներ
- օգտագործողի հեռախոսի մոդելը և դրա վրա գտնվող բջջային ՕՀ տարբերակը (օրինակ, iPhone 7 12.1.4)
- օգտվողի էլփոստի հասցեն
- օգտագործողի հաշվի մնացորդը և արժույթը
- օգտագործողի երկիր
- օգտագործողի ներկայիս գտնվելու վայրը (երկիրը):
- գովազդային կոդեր
- եւ շատ ավելին:
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Բազայի տերերի հետ, իհարկե, չի հաջողվել կապ հաստատել։ Կայքում կոնտակտները չեն աշխատում, հաղորդագրությունները սոցիալական ցանցերում: ցանցերում ոչ ոք չի արձագանքում.
Հավելվածը դեռ հասանելի է Apple App Store-ում (itunes.apple.com/app/roamer-roaming-killer/id646368973):
Տեղեկատվության արտահոսքի և ինսայդերների մասին լուրերը միշտ կարելի է գտնել իմ Telegram ալիքում»:
Source: www.habr.com