Мен дагы бир жолу жеке маалыматтардын ачыкка чыгышы жөнүндө айтып жатам, бирок бул жолу мен сизге акыркы эки табылганын мисалында IT долбоорлорунун кийинки жашоосу жөнүндө бир аз айтып берем.
Берилиштер базасынын коопсуздугун текшерүү учурунда сиз серверлерди таап аласыз (, Мен блогдо жаздым) биздин дүйнөнү көптөн бери таштап кеткен долбоорлорго таандык. Мындай долбоорлор, атүгүл зомбиге (колдонуучулардын өлгөндөн кийин жеке маалыматтарын чогултуу) окшош жашоону (жумуш) тууроону улантууда.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Келгиле, "Путиндин командасы" (putinteam.ru) деген катуу аталыштагы долбоор менен баштайлы.
Ачык MongoDB сервери 19.04.2019-жылы табылган.
Көрүнүп тургандай, ransomware бул базага биринчи жеткен:
Маалыматтар базасында өзгөчө баалуу жеке маалыматтар камтылбайт, бирок электрондук почта даректери (1000ден аз), ысымдар/фамилиялар, хэштелген сырсөздөр, GPS координаттары (смартфондордон каттоодон өткөндө көрүнөт), жашаган шаарлар жана сайтты түзгөн колдонуучулардын сүрөттөрү бар. бул боюнча алардын жеке эсеби.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Абдан көп таштанды маалымат жана бош жазуулар. Мисалы, маалымат бюллетенине жазылуу коду электрондук почтанын дареги киргизилгендигин текшербейт, андыктан даректин ордуна сиз каалаган нерсени жаза аласыз.
Сайттагы автордук укукка караганда, долбоор 2018-жылы токтотулган. Долбоордун өкүлдөрү менен байланышууга болгон бардык аракеттерден майнап чыккан жок. Бирок, сайтта сейрек катталуулар бар - жашоону имитациялоо бар.
Бүгүнкү менин анализимдеги экинчи зомби долбоору - бул латвиялык стартап "Roamer" (roamerapp.com/ru).
21.04.2019-жылдын XNUMX-апрелинде Германиянын серверинде “Roamer” мобилдик тиркемесинин ачык MongoDB маалымат базасы табылган.
207 МБ өлчөмүндөгү маалымат базасы 24.11.2018-жылдын XNUMX-ноябрынан бери жалпыга жеткиликтүү (Шодон боюнча)!
Бардык тышкы белгилер боюнча (иштебеген техникалык колдоо электрондук почта дареги, Google Play дүкөнүнө сынган шилтемелер, 2016-жылдагы веб-сайттагы автордук укук ж.
Бир убакта дээрлик бардык тематикалык маалымат каражаттары бул стартап жөнүндө жазган:
- VC: "Латвиялык Roamer стартапы – роумингде киллер»
- айыл: "Роумер: Чет өлкөдөн чалуулардын баасын төмөндөтүүчү тиркеме»
- лайфхакер: "Роумингде байланыш чыгымдарын кантип 10 эсеге кыскартууга болот: Роумер»
"Киши өлтүргүч" өзүн-өзү өлтүргөн окшойт, бирок өлгөндө да колдонуучуларынын жеке маалыматтарын ачыкка чыгара берет...
Маалыматтар базасындагы маалыматтарды талдоо боюнча, көптөгөн колдонуучулар бул мобилдик тиркемени колдонууну улантууда. Байкоодон кийин бир нече сааттын ичинде 94 жаңы жазуу пайда болду. Ал эми 27.03.2019-жылдын 10.04.2019-мартынан 66-жылдын XNUMX-апрелине чейинки аралыкта тиркемеде XNUMX жаңы колдонуучу катталган.
Тиркеме журналдары (100 миңден ашык жазуулар), мисалы:
- колдонуучунун телефону
- чалуу тарыхына кирүү белгилери (мисалы, шилтемелер аркылуу жеткиликтүү: api3.roamerapp.com/call/history/1553XXXXXX)
- чалуу тарыхы (номерлер, кирүүчү же чыгыш чалуулар, чалуунун баасы, узактыгы, чалуунун убактысы)
- колдонуучунун мобилдик оператору
- Колдонуучунун IP даректери
- колдонуучунун телефон модели жана андагы мобилдик ОС версиясы (мисалы, мулк 7 12.1.4)
- колдонуучунун электрондук почта дареги
- колдонуучунун эсебинин балансы жана валютасы
- колдонуучу өлкө
- колдонуучунун учурдагы жайгашкан жери (өлкө).
- жарнамалык коддору
- жана дагы көп нерселер.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Албетте, базанын ээлери менен байланышууга мүмкүн болгон жок. Сайттагы байланыштар иштебейт, социалдык тармактардагы билдирүүлөр. тармактарда эч ким реакция кылбайт.
Колдонмо дагы эле Apple App Store дүкөнүндө жеткиликтүү (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Маалыматтын агып кетиши жана инсайдерлер тууралуу жаңылыктарды менин Telegram каналымдан ар дайым тапса болот "": .
Source: www.habr.com