ProHoster > Blog > Pentadbiran > Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Saya bercakap tentang kebocoran data peribadi sekali lagi, tetapi kali ini saya akan memberitahu anda sedikit tentang kehidupan akhirat projek IT menggunakan contoh dua penemuan baru-baru ini.

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Semasa audit keselamatan pangkalan data, selalunya anda menemui pelayan (bagaimana untuk mencari pangkalan data, saya menulis dalam blog) milik projek yang telah lama (atau tidak lama dahulu) meninggalkan dunia kita. Projek sedemikian malah terus meniru kehidupan (kerja), menyerupai zombi (mengumpul data peribadi pengguna selepas kematian mereka).

ДисклСймСр: вся информация Π½ΠΈΠΆΠ΅ публикуСтся ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π² ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… цСлях. Автор Π½Π΅ ΠΏΠΎΠ»ΡƒΡ‡Π°Π» доступа ΠΊ ΠΏΠ΅Ρ€ΡΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ Π΄Π°Π½Π½Ρ‹ΠΌ Ρ‚Ρ€Π΅Ρ‚ΡŒΠΈΡ… Π»ΠΈΡ† ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡ взята Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… источников, Π»ΠΈΠ±ΠΎ Π±Ρ‹Π»Π° прСдоставлСна Π°Π²Ρ‚ΠΎΡ€Ρƒ Π°Π½ΠΎΠ½ΠΈΠΌΠ½Ρ‹ΠΌΠΈ доброТСлатСлями.

Mari kita mulakan dengan projek dengan nama kuat "Pasukan Putin" (putinteam.ru).

Pelayan dengan MongoDB terbuka ditemui pada 19.04.2019/XNUMX/XNUMX.

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Seperti yang anda lihat, perisian tebusan adalah yang pertama mencapai pangkalan ini:

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Pangkalan data tidak mengandungi data peribadi yang sangat berharga, tetapi terdapat alamat e-mel (kurang daripada 1000), nama pertama/nama keluarga, kata laluan yang dicincang, koordinat GPS (nampaknya semasa mendaftar daripada telefon pintar), bandar kediaman dan gambar pengguna tapak yang telah mencipta akaun peribadi mereka di atasnya. 

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Π’Π°Π΄ΠΈΠΌ", 
    "lastName" : "", 
    "city" : "Π‘Π°Π½ΠΊΡ‚-ΠŸΠ΅Ρ‚Π΅Ρ€Π±ΡƒΡ€Π³", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Sangat banyak sampah maklumat dan rekod kosong. Contohnya, kod langganan surat berita tidak menyemak sama ada alamat e-mel dimasukkan, jadi bukannya alamat, anda boleh menulis apa sahaja yang anda mahu.

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Berdasarkan hak cipta di tapak web, projek itu telah ditinggalkan pada 2018. Semua percubaan untuk menghubungi wakil projek tidak berjaya. Walau bagaimanapun, terdapat pendaftaran yang jarang berlaku di laman web ini - terdapat tiruan kehidupan.

Projek zombi kedua dalam analisis saya hari ini ialah permulaan Latvia "Roamer" (roamerapp.com/ru).

Pada 21.04.2019 April XNUMX, pangkalan data MongoDB terbuka bagi aplikasi mudah alih β€œRoamer” ditemui pada pelayan di Jerman.

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Pangkalan data, bersaiz 207 MB, telah tersedia secara umum sejak 24.11.2018 November XNUMX (menurut Shodan)!

Dengan semua tanda luar (alamat e-mel sokongan teknikal tidak berfungsi, pautan terputus ke gedung Google Play, hak cipta di tapak web dari 2016, dll.) aplikasi itu telah lama ditinggalkan.

Projek zombi – membocorkan data pengguna walaupun selepas kematian mereka

Pada satu masa, hampir semua media tematik menulis tentang permulaan ini:

  • VC: "Roamer permulaan Latvia adalah pembunuh perayauanΒ»
  • Kampung: "Roamer: Aplikasi yang mengurangkan kos panggilan dari luar negaraΒ»
  • penggodam nyawa: "Cara mengurangkan kos komunikasi semasa merayau sebanyak 10 kali ganda: RoamerΒ»

"Pembunuh" itu nampaknya telah membunuh dirinya sendiri, tetapi walaupun sudah mati dia terus mendedahkan data peribadi penggunanya...

Berdasarkan analisis maklumat dalam pangkalan data, ramai pengguna terus menggunakan aplikasi mudah alih ini. Dalam beberapa jam pemerhatian, 94 penyertaan baru muncul. Dan untuk tempoh dari 27.03.2019 Mac 10.04.2019 hingga 66 April XNUMX, XNUMX pengguna baharu mendaftar dalam aplikasi.

Log (lebih daripada 100 ribu rekod) permohonan dengan maklumat seperti:

  • telefon pengguna
  • akses token untuk sejarah panggilan (tersedia melalui pautan seperti: api3.roamerapp.com/call/history/1553XXXXXX)
  • sejarah panggilan (nombor, panggilan masuk atau keluar, kos panggilan, tempoh, masa panggilan)
  • pengendali mudah alih pengguna
  • Alamat IP pengguna
  • model telefon pengguna dan versi OS mudah alih padanya (contohnya, iPhone 7 12.1.4)
  • alamat e-mel pengguna
  • baki akaun pengguna dan mata wang
  • negara pengguna
  • lokasi semasa (negara) pengguna
  • kod promosi
  • dan banyak lagi.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Sudah tentu, tidak mungkin untuk menghubungi pemilik pangkalan itu. Kenalan di tapak tidak berfungsi, mesej di media sosial. tiada siapa bertindak balas pada rangkaian.

Apl ini masih tersedia di Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).

Berita tentang kebocoran maklumat dan orang dalam sentiasa boleh didapati di saluran Telegram saya "Kebocoran maklumat" https://t.me/dataleak.

Sumber: www.habr.com

Tambah komen