Vėl kalbu apie asmens duomenų nutekėjimą, bet šį kartą papasakosiu šiek tiek apie IT projektų pomirtinį gyvenimą, naudodamasis dviejų naujausių radinių pavyzdžiu.
Duomenų bazės saugos audito metu dažnai atrandate serverius (, rašiau dienoraštyje), priklausančių projektams, kurie seniai (ar ne taip seniai) paliko mūsų pasaulį. Tokie projektai net ir toliau mėgdžioja gyvenimą (darbą), primena zombius (renkami vartotojų asmens duomenys po jų mirties).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Pradėkime nuo projekto skambiu pavadinimu „Putino komanda“ (putinteam.ru).
Serveris su atidarytu MongoDB buvo aptiktas 19.04.2019-XNUMX-XNUMX.
Kaip matote, išpirkos reikalaujanti programa pirmoji pasiekė šią bazę:
Duomenų bazėje nėra itin vertingų asmeninių duomenų, tačiau yra elektroninio pašto adresai (mažiau nei 1000), vardai/pavardės, slaptažodžiai su maišais, GPS koordinatės (matyt registruojantis iš išmaniųjų telefonų), gyvenamieji miestai ir svetainės naudotojų, kurie susikūrė, nuotraukos. savo asmeninę paskyrą joje.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Tiek daug šiukšlių informacija ir tušti įrašai. Pavyzdžiui, naujienlaiškio prenumeratos kodas netikrina, ar įvestas elektroninio pašto adresas, todėl vietoj adreso galite rašyti ką tik norite.
Sprendžiant iš svetainėje esančių autorių teisių, projekto buvo atsisakyta 2018 m. Visi bandymai susisiekti su projekto atstovais buvo nesėkmingi. Tačiau svetainėje yra retų registracijų - ten yra gyvenimo imitacija.
Antrasis zombių projektas mano šiandieninėje analizėje yra latvių startuolis „Roamer“ (roamerapp.com/ru).
21.04.2019 m. balandžio XNUMX d. Vokietijoje esančiame serveryje buvo aptikta atvira mobiliosios aplikacijos „Roamer“ MongoDB duomenų bazė.
207 MB dydžio duomenų bazė viešai prieinama nuo 24.11.2018 m. lapkričio XNUMX d. (pagal Shodan)!
Pagal visus išorinius požymius (neveikiantis techninės pagalbos el. pašto adresas, neveikiančios nuorodos į Google Play parduotuvę, autorinės teisės svetainėje nuo 2016 m. ir kt.) aplikacija buvo apleista ilgą laiką.
Vienu metu beveik visos teminės žiniasklaidos priemonės rašė apie šį startą:
- VC: "Latvijos startuolis Roamer yra tarptinklinio ryšio žudikas»
- kaimas: "Roamer: programa, kuri sumažina skambučių iš užsienio kainą»
- lifehacker: "Kaip 10 kartų sumažinti ryšio išlaidas tarptinkliniu ryšiu: tarptinklinis ryšys»
Atrodo, kad „žudikas“ nusižudė, tačiau net miręs jis ir toliau atskleidžia savo vartotojų asmeninius duomenis...
Sprendžiant iš duomenų bazės informacijos analizės, daugelis vartotojų ir toliau naudojasi šia mobiliąja programa. Per kelias stebėjimo valandas pasirodė 94 nauji įrašai. O laikotarpiu nuo 27.03.2019-10.04.2019-66 iki XNUMX-XNUMX-XNUMX programoje užsiregistravo XNUMX nauji vartotojai.
Programos žurnalai (daugiau nei 100 tūkst. įrašų) su tokia informacija kaip:
- vartotojo telefonas
- prieigos žetonai skambučių istorijai (pasiekiami naudojant tokias nuorodas: api3.roamerapp.com/call/history/1553XXXXXX)
- skambučių istorija (numeriai, įeinantis arba išeinantis skambutis, skambučio kaina, trukmė, pokalbio laikas)
- vartotojo mobiliojo ryšio operatorius
- Vartotojo IP adresai
- vartotojo telefono modelis ir mobiliosios OS versija jame (pvz., "iPhone 7 12.1.4)
- vartotojo elektroninio pašto adresą
- vartotojo sąskaitos likutis ir valiuta
- vartotojo šalis
- dabartinė vartotojo vieta (šalis).
- reklamos kredito kodai
- ir daug daugiau.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Žinoma, su bazės savininkais susisiekti nepavyko. Svetainėje neveikia kontaktai, žinutės socialiniuose tinkluose. tinkluose niekas nereaguoja.
Programą vis dar galima rasti „Apple App Store“ (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Naujienos apie informacijos nutekėjimą ir viešai neatskleistą informaciją visada galite rasti mano „Telegram“ kanale “" .
Šaltinis: www.habr.com