좀비 프로젝트 - 사망 후에도 사용자 데이터 유출

이번에도 개인정보 유출 이야기인데, 이번에는 최근 발견된 두 건의 사례를 통해 IT 프로젝트의 사후 세계에 대해 조금 말씀드리겠습니다.

데이터베이스 보안 감사 중에 서버(데이터베이스를 검색하는 방법, 나는 블로그에 글을 썼습니다.) 오래 전 (또는 그리 오래되지 않은) 우리 세상을 떠난 프로젝트에 속합니다. 이러한 프로젝트는 심지어 좀비(사용자가 사망한 후 개인 데이터를 수집하는 것)와 유사한 생활(작업)을 계속 모방합니다.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

"Putin's Team"(putinteam.ru)이라는 큰 이름의 프로젝트부터 시작하겠습니다.

MongoDB가 열려 있는 서버가 19.04.2019년 XNUMX월 XNUMX일에 발견되었습니다.

보시다시피 랜섬웨어는 이 기반에 가장 먼저 도달했습니다.

데이터베이스에는 특별히 귀중한 개인 데이터가 포함되어 있지 않지만 이메일 주소(1000개 미만), 이름/성, 해시된 비밀번호, GPS 좌표(스마트폰에서 등록할 때 나타남), 거주 도시 및 사이트 사용자의 사진이 포함되어 있습니다. 거기에 개인 계정이 있습니다.

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

많은 쓰레기 정보와 빈 기록. 예를 들어 뉴스레터 구독코드는 이메일 주소가 입력되었는지 확인하지 않기 때문에 주소 대신 원하는 내용을 적어주시면 됩니다.

웹사이트의 저작권으로 판단해 이 프로젝트는 2018년에 중단되었습니다. 프로젝트 담당자에게 연락하려는 모든 시도가 실패했습니다. 그러나 사이트에 등록이 거의 없습니다. 삶의 모방이 있습니다.

오늘 제가 분석한 두 번째 좀비 프로젝트는 라트비아 스타트업 “Roamer”(roamerapp.com/ru)입니다.

21.04.2019년 XNUMX월 XNUMX일, 모바일 애플리케이션 "Roamer"의 공개 MongoDB 데이터베이스가 독일 서버에서 발견되었습니다.

207MB 크기의 데이터베이스는 24.11.2018년 XNUMX월 XNUMX일부터 공개되었습니다(Shodan에 따르면)!

모든 외부 징후(기술 지원 이메일 주소 작동 안 함, Google Play 스토어 링크 끊어짐, 2016년부터 웹사이트 저작권 등)로 인해 애플리케이션이 오랫동안 중단되었습니다.

한때 거의 모든 주제별 미디어에서 이 스타트업에 대해 다음과 같이 썼습니다.

• 벤처 캐피털: "라트비아 스타트업 Roamer는 로밍 킬러입니다.»
• 마을: "로머(Roamer) : 해외에서 전화요금을 줄여주는 어플리케이션»
• 구명해커: "로밍 중 통신비를 10배 줄이는 방법: 로머»

'살인자'는 스스로 목숨을 끊은 듯 보이지만, 죽은 뒤에도 계속해서 이용자들의 개인정보를 공개하는데…

데이터베이스의 정보를 분석한 결과, 많은 사용자가 이 모바일 애플리케이션을 계속 사용하고 있습니다. 관찰 후 몇 시간 내에 94개의 새로운 항목이 나타났습니다. 그리고 27.03.2019년 10.04.2019월 66일부터 XNUMX년 XNUMX월 XNUMX일까지 기간 동안 XNUMX명의 신규 사용자가 애플리케이션에 등록되었습니다.

다음과 같은 정보가 포함된 애플리케이션 로그(100만 개가 넘는 레코드):

• 사용자 전화
• 통화 기록에 대한 액세스 토큰(다음과 같은 링크를 통해 사용 가능) api3.roamerapp.com/call/history/1553XXXXXX)
• 통화 내역(번호, 수신 또는 발신 전화, 통화 비용, 지속 시간, 통화 시간)
• 사용자의 이동통신사
• 사용자 IP 주소
• 사용자의 휴대폰 모델 및 모바일 OS 버전(예: iPhone 7 12.1.4)
• 사용자 이메일 주소
• 사용자 계정 잔액 및 통화
• 사용자 국가
• 사용자의 현재 위치(국가)
• 프로모션 코드
• 그리고 훨씬 더.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

물론 기지 소유자에게 연락하는 것은 불가능했습니다. 사이트의 연락처가 작동하지 않고 소셜 미디어의 메시지가 작동하지 않습니다. 네트워크에서는 아무도 반응하지 않습니다.

이 앱은 Apple App Store(itunes.apple.com/app/roamer-roaming-killer/id646368973)에서 계속 사용할 수 있습니다.

정보 유출 및 내부자에 대한 소식은 언제나 제 텔레그램 채널에서 확인하실 수 있습니다."정보 유출»: https://t.me/dataleak.

출처 : habr.com