Parlerò nuovamente di fughe di dati personali, ma questa volta vi parlerò un po' dell'aldilà dei progetti IT utilizzando l'esempio di due recenti scoperte.
Durante un controllo di sicurezza del database, capita spesso di scoprire server (, ho scritto in un blog) appartenenti a progetti che hanno lasciato da tempo (o non molto tempo fa) il nostro mondo. Tali progetti continuano persino a imitare la vita (lavoro), somigliando agli zombi (raccogliendo dati personali degli utenti dopo la loro morte).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Cominciamo con un progetto dal nome altisonante “Putin’s Team” (putinteam.ru).
Un server con MongoDB aperto è stato scoperto il 19.04.2019/XNUMX/XNUMX.
Come puoi vedere, il ransomware è stato il primo a raggiungere questa base:
Il database non contiene dati personali particolarmente preziosi, ma ci sono indirizzi email (meno di 1000), nomi/cognomi, password con hash, coordinate GPS (apparentemente quando si registra da smartphone), città di residenza e fotografie degli utenti del sito che hanno creato il loro account personale su di esso.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Molto spazzatura informazioni e record vuoti. Ad esempio, il codice di iscrizione alla newsletter non controlla che venga inserito un indirizzo email, quindi al posto dell'indirizzo puoi scrivere quello che vuoi.
A giudicare dal copyright sul sito web, il progetto è stato abbandonato nel 2018. Tutti i tentativi di contattare i rappresentanti del progetto non hanno avuto successo. Tuttavia, ci sono rare registrazioni sul sito: c'è un'imitazione della vita.
Il secondo progetto zombie nella mia analisi di oggi è la startup lettone “Roamer” (roamerapp.com/ru).
Il 21.04.2019 aprile XNUMX su un server in Germania è stata scoperta una banca dati MongoDB aperta dell’applicazione mobile “Roamer”.
Il database, di 207 MB di dimensione, è disponibile pubblicamente dal 24.11.2018 novembre XNUMX (secondo Shodan)!
Nonostante tutti i segni esterni (indirizzo e-mail del supporto tecnico non funzionante, collegamenti interrotti al Google Play Store, copyright sul sito Web del 2016, ecc.) l'applicazione è stata abbandonata da molto tempo.
Un tempo, quasi tutti i media tematici scrivevano di questa startup:
- V.C.: "La startup lettone Roamer è un killer errante»
- il villaggio: "Roamer: Un'applicazione che riduce il costo delle chiamate dall'estero»
- hacker di vita: "Come ridurre di 10 volte i costi di comunicazione in roaming: Roamer»
Il “killer” sembra essersi suicidato, ma anche da morto continua a divulgare i dati personali dei suoi utenti...
A giudicare dall'analisi delle informazioni nel database, molti utenti continuano a utilizzare questa applicazione mobile. Nel giro di poche ore di osservazione sono apparse 94 nuove voci. E per il periodo dal 27.03.2019 marzo 10.04.2019 al 66 aprile XNUMX, XNUMX nuovi utenti si sono registrati nell'applicazione.
Registri (più di 100mila record) dell'applicazione con informazioni quali:
- telefono dell'utente
- token di accesso alla cronologia delle chiamate (disponibili tramite collegamenti come: api3.roamerapp.com/call/history/1553XXXXXX)
- cronologia delle chiamate (numeri, chiamate in entrata o in uscita, costo della chiamata, durata, ora della chiamata)
- operatore di telefonia mobile dell'utente
- Indirizzi IP degli utenti
- il modello di telefono dell'utente e la versione del sistema operativo mobile su di esso (ad esempio, iPhone 7 12.1.4)
- indirizzo email dell'utente
- saldo e valuta dell'account utente
- paese dell'utente
- posizione attuale (paese) dell'utente
- codici promozionali
- e molto altro.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Naturalmente non è stato possibile contattare i proprietari della base. Non funzionano i contatti sul sito, i messaggi sui social. nessuno reagisce sulle reti.
L'app è ancora disponibile sull'Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Notizie su fughe di informazioni e addetti ai lavori possono sempre essere trovate sul mio canale Telegram "" .
Fonte: habr.com