Saya kembali membahas tentang kebocoran data pribadi, namun kali ini saya akan bercerita sedikit tentang akhirat proyek TI menggunakan contoh dua temuan baru-baru ini.
Selama audit keamanan basis data, sering kali Anda menemukan server (, saya menulis di blog) milik proyek yang telah lama (atau belum lama ini) meninggalkan dunia kita. Proyek semacam itu bahkan terus meniru kehidupan (pekerjaan), menyerupai zombie (mengumpulkan data pribadi pengguna setelah kematiannya).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Mari kita mulai dengan sebuah proyek dengan nama besar “Tim Putin” (putinteam.ru).
Server dengan MongoDB terbuka ditemukan pada 19.04.2019/XNUMX/XNUMX.
Seperti yang Anda lihat, ransomware adalah yang pertama mencapai basis ini:
Basis data tidak berisi data pribadi yang sangat berharga, tetapi terdapat alamat email (kurang dari 1000), nama depan/nama belakang, kata sandi hash, koordinat GPS (tampaknya saat mendaftar dari ponsel cerdas), kota tempat tinggal, dan foto pengguna situs yang telah membuat akun pribadi mereka di dalamnya.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Banyak sampah informasi dan catatan kosong. Misalnya, kode berlangganan buletin tidak memeriksa apakah alamat email dimasukkan, jadi alih-alih alamat, Anda dapat menulis apa pun yang Anda inginkan.
Dilihat dari hak cipta di situs webnya, proyek tersebut ditinggalkan pada tahun 2018. Semua upaya untuk menghubungi perwakilan proyek tidak berhasil. Namun, jarang ada pendaftaran di situs ini - ada tiruan kehidupan.
Proyek zombie kedua dalam analisis saya hari ini adalah startup Latvia “Roamer” (roamerapp.com/ru).
Pada tanggal 21.04.2019 April XNUMX, database MongoDB terbuka dari aplikasi seluler “Roamer” ditemukan di server di Jerman.
Basis data berukuran 207 MB telah tersedia untuk umum sejak 24.11.2018 November XNUMX (menurut Shodan)!
Dengan semua tanda eksternal (alamat email dukungan teknis tidak berfungsi, tautan rusak ke Google Play store, hak cipta situs web dari tahun 2016, dll.) aplikasi telah lama ditinggalkan.
Hampir semua media tematik pernah menulis tentang startup ini:
- VC: "Startup Latvia, Roamer, adalah pembunuh roaming»
- Desa: "Roamer: Aplikasi yang mengurangi biaya panggilan dari luar negeri»
- peretas kehidupan: "Cara mengurangi biaya komunikasi saat roaming sebanyak 10 kali lipat: Roamer»
Si “pembunuh” tampaknya telah bunuh diri, namun bahkan ketika sudah mati ia terus mengungkapkan data pribadi penggunanya...
Dilihat dari analisis informasi di database, banyak pengguna yang terus menggunakan aplikasi seluler ini. Dalam beberapa jam pengamatan, muncul 94 entri baru. Dan untuk periode 27.03.2019 Maret 10.04.2019 hingga 66 April XNUMX, terdapat XNUMX pengguna baru yang mendaftar di aplikasi tersebut.
Log (lebih dari 100 ribu catatan) aplikasi dengan informasi seperti:
- telepon pengguna
- akses token ke riwayat panggilan (tersedia melalui tautan seperti: api3.roamerapp.com/call/history/1553XXXXXX)
- riwayat panggilan (nomor, panggilan masuk atau keluar, biaya panggilan, durasi, waktu panggilan)
- operator seluler pengguna
- Alamat IP pengguna
- model ponsel pengguna dan versi OS seluler di dalamnya (misalnya, iPhone 7 12.1.4)
- alamat email pengguna
- saldo dan mata uang akun pengguna
- negara pengguna
- lokasi (negara) pengguna saat ini
- kode promosi
- dan banyak lagi.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Tentu saja, pemilik pangkalan tidak dapat dihubungi. Kontak di situs tidak berfungsi, pesan di media sosial. tidak ada yang bereaksi di jaringan.
Aplikasi ini masih tersedia di Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya "»: .
Sumber: www.habr.com