ゾンビプロジェクト – ユーザーの死後もユーザーデータを漏洩

再び個人データ漏洩について話しますが、今回は最近発見された XNUMX 件の例を使って、IT プロジェクトのその後について少しお話します。

データベースのセキュリティ監査中に、サーバー (データベースの検索方法、私はブログで書きました）ずっと前に（またはそれほど前に）私たちの世界を去ったプロジェクトに属しています。 このようなプロジェクトは、ゾンビに似た生命（仕事）を模倣し続けています（ユーザーの死後の個人データを収集します）。

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

「プーチンのチーム」（putinteam.ru）という大々的な名前のプロジェクトから始めましょう。

MongoDB がオープンしているサーバーが 19.04.2019 年 XNUMX 月 XNUMX 日に発見されました。

ご覧のとおり、ランサムウェアが最初にこのベースに到達しました。

データベースには特に貴重な個人データは含まれていませんが、電子メール アドレス (1000 件未満)、姓名、ハッシュ化されたパスワード、GPS 座標 (スマートフォンから登録した場合と思われる)、居住都市、サイト ユーザーの写真が含まれています。彼らの個人アカウントです。

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

とても ごみ 情報と空のレコード。 たとえば、ニュースレターの購読コードでは電子メール アドレスの入力はチェックされないため、アドレスの代わりに好きなものを入力できます。

ウェブサイトの著作権から判断すると、このプロジェクトは 2018 年に放棄されました。 プロジェクトの代表者に連絡する試みはすべて失敗しました。 ただし、サイトにはまれに登録があります - 人生の模倣があります。

今日分析した XNUMX 番目のゾンビ プロジェクトは、ラトビアのスタートアップ「Roamer」 (roamerapp.com/ru) です。

21.04.2019 年 XNUMX 月 XNUMX 日、モバイル アプリケーション「Roamer」のオープン MongoDB データベースがドイツのサーバーで発見されました。

サイズ 207 MB のデータベースは、24.11.2018 年 XNUMX 月 XNUMX 日から一般公開されています (Shodan による)。

すべての外部の兆候 (テクニカル サポートの電子メール アドレスが機能していない、Google Play ストアへのリンクが切れている、2016 年以降の Web サイトの著作権など) により、アプリケーションは長い間放棄されています。

かつて、ほぼすべてのテーマ別メディアがこのスタートアップについて次のように書いていました。

• VC: "ラトビアのスタートアップ Roamer はローミングキラーです»
• 村： "Roamer: 海外からの通話料金を削減するアプリケーション»
• ライフハッカー: "ローミング時の通信費を10倍削減する方法：Roamer»

「殺人者」は自殺したようですが、死んでもユーザーの個人情報を公開し続けています...

データベース内の情報の分析から判断すると、多くのユーザーがこのモバイル アプリケーションを使い続けています。 数時間の観察のうちに、94 個の新しいエントリが出現しました。 そして、27.03.2019年10.04.2019月66日からXNUMX年XNUMX月XNUMX日までの期間で、XNUMX人の新規ユーザーがアプリに登録しました。

次のような情報を含むアプリケーションのログ (100 万レコード以上):

• ユーザーの電話
• 通話履歴へのアクセス トークン (次のようなリンクから利用可能) api3.roamerapp.com/call/history/1553XXXXXX)
• 通話履歴 (番号、着信または発信、通話料金、通話時間、通話時間)
• ユーザーの携帯電話会社
• ユーザーのIPアドレス
• ユーザーの携帯電話のモデルとモバイル OS のバージョン (例: iPhone 7 12.1.4)
• ユーザーのメールアドレス
• ユーザーアカウントの残高と通貨
• ユーザーの国
• ユーザーの現在地（国）
• プロモーションコード
• имногоедругое。

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

もちろん、基地の所有者と連絡を取ることはできませんでした。 サイト上の連絡先は機能せず、ソーシャルメディア上のメッセージも機能しません。 ネットワーク上では誰も反応しません。

このアプリは引き続き Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973) で入手できます。

情報漏洩や内部関係者に関するニュースはいつでも私の Telegram チャンネルで見つけることができます。」情報漏洩»： https://t.me/dataleak.

出所： habr.com