Zombie նախագծեր – օգտատերերի տվյալների արտահոսք նույնիսկ նրանց մահից հետո

Ես նորից խոսում եմ անձնական տվյալների արտահոսքի մասին, բայց այս անգամ ես ձեզ մի փոքր կպատմեմ ՏՏ նախագծերի հետագա կյանքի մասին՝ օգտագործելով երկու վերջին գտածոների օրինակը:

Տվյալների բազայի անվտանգության աուդիտի ժամանակ հաճախ է պատահում, որ դուք հայտնաբերում եք սերվերներ (ինչպես որոնել տվյալների բազաները, գրել եմ բլոգում), որոնք պատկանում են նախագծերին, որոնք վաղուց (կամ ոչ այնքան վաղուց) լքել են մեր աշխարհը։ Նման նախագծերը նույնիսկ շարունակում են ընդօրինակել կյանքը (աշխատանքը)՝ նմանվելով զոմբիներին (օգտատերերի անձնական տվյալները հավաքելով նրանց մահից հետո)։

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Սկսենք «Պուտինի թիմ» բարձր անվանումով նախագծից (putinteam.ru):

Բաց MongoDB-ով սերվերը հայտնաբերվել է 19.04.2019թ.

Ինչպես տեսնում եք, փրկագինն առաջինն էր, ով հասավ այս բազային.

Տվյալների բազան առանձնապես արժեքավոր անձնական տվյալներ չի պարունակում, սակայն կան էլփոստի հասցեներ (1000-ից պակաս), անուն/ազգանուն, հաշված գաղտնաբառեր, GPS կոորդինատներ (ըստ երևույթին սմարթֆոններից գրանցվելիս), բնակության քաղաքներ և կայքի օգտատերերի լուսանկարներ, որոնք ստեղծել են: նրանց անձնական հաշիվը դրա վրա:

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Այնքան շատ աղբ տեղեկատվություն և դատարկ գրառումներ: Օրինակ, տեղեկագրի բաժանորդագրության կոդը չի ստուգում, որ էլփոստի հասցե է մուտքագրված, ուստի հասցեի փոխարեն կարող եք գրել այն, ինչ ուզում եք:

Դատելով կայքի հեղինակային իրավունքից՝ նախագիծը լքվել է 2018թ. Ծրագրի ներկայացուցիչների հետ կապ հաստատելու բոլոր փորձերն անհաջող էին: Այնուամենայնիվ, կայքում հազվադեպ գրանցումներ կան՝ կյանքի իմիտացիա կա։

Այսօր իմ վերլուծության մեջ երկրորդ զոմբի նախագիծը լատվիական «Roamer» ստարտափն է (roamerapp.com/ru):

21.04.2019 թվականի ապրիլի XNUMX-ին Գերմանիայում սերվերի վրա հայտնաբերվել է «Roamer» բջջային հավելվածի բաց MongoDB տվյալների բազա:

Տվյալների բազան՝ 207 ՄԲ չափով, հանրությանը հասանելի է 24.11.2018 թվականի նոյեմբերի XNUMX-ից (ըստ Շոդանի):

Արտաքին բոլոր նշաններով (չաշխատող տեխնիկական աջակցության էլ. հասցե, Google Play խանութի կոտրված հղումներ, 2016 թվականից կայքի հեղինակային իրավունք և այլն) հավելվածը երկար ժամանակ լքված է:

Ժամանակին գրեթե բոլոր թեմատիկ լրատվամիջոցներն այս ստարտափի մասին գրում էին.

• VC:Լատվիական Roamer ստարտափը ռոումինգի մարդասպան է»
• գյուղը: "Roamer. Հավելված, որը նվազեցնում է արտասահմանից զանգերի արժեքը»
• lifehacker.Ինչպես նվազեցնել կապի ծախսերը ռոումինգում 10 անգամ. Roamer»

«Մարդասպանը» կարծես թե սպանել է իրեն, բայց նույնիսկ մահացած ժամանակ նա շարունակում է հրապարակել իր օգտատերերի անձնական տվյալները...

Դատելով տվյալների բազայում առկա տեղեկատվության վերլուծությունից՝ շատ օգտատերեր շարունակում են օգտվել այս բջջային հավելվածից։ Դիտարկումից հետո մի քանի ժամվա ընթացքում 94 նոր գրառում է հայտնվել։ Իսկ 27.03.2019 թվականի մարտի 10.04.2019-ից մինչև 66 թվականի ապրիլի XNUMX-ն ընկած ժամանակահատվածում հավելվածում գրանցվել է XNUMX նոր օգտատեր։

Հավելվածի տեղեկամատյանները (ավելի քան 100 հազար գրառում) տեղեկություններով, ինչպիսիք են.

• օգտագործողի հեռախոս
• մուտք գործելու նշաններ զանգերի պատմության համար (հասանելի է հետևյալ հղումների միջոցով՝ api3.roamerapp.com/call/history/1553XXXXXX)
• զանգերի պատմություն (համարներ, մուտքային կամ ելքային զանգ, զանգի արժեքը, տևողությունը, զանգի ժամանակը)
• օգտագործողի բջջային օպերատոր
• Օգտագործողի IP հասցեներ
• օգտագործողի հեռախոսի մոդելը և դրա վրա գտնվող բջջային ՕՀ տարբերակը (օրինակ, iPhone 7 12.1.4)
• օգտվողի էլփոստի հասցեն
• օգտագործողի հաշվի մնացորդը և արժույթը
• օգտագործողի երկիր
• օգտագործողի ներկայիս գտնվելու վայրը (երկիրը):
• գովազդային կոդեր
• եւ շատ ավելին:

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Բազայի տերերի հետ, իհարկե, չի հաջողվել կապ հաստատել։ Կայքում կոնտակտները չեն աշխատում, հաղորդագրությունները սոցիալական ցանցերում: ցանցերում ոչ ոք չի արձագանքում.

Հավելվածը դեռ հասանելի է Apple App Store-ում (itunes.apple.com/app/roamer-roaming-killer/id646368973):

Տեղեկատվության արտահոսքի և ինսայդերների մասին լուրերը միշտ կարելի է գտնել իմ Telegram ալիքում»:Տեղեկատվության արտահոսք»: https://t.me/dataleak.

Source: www.habr.com