Saya bercakap tentang kebocoran data peribadi sekali lagi, tetapi kali ini saya akan memberitahu anda sedikit tentang kehidupan akhirat projek IT menggunakan contoh dua penemuan baru-baru ini.
Semasa audit keselamatan pangkalan data, selalunya anda menemui pelayan (
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Mari kita mulakan dengan projek dengan nama kuat "Pasukan Putin" (putinteam.ru).
Pelayan dengan MongoDB terbuka ditemui pada 19.04.2019/XNUMX/XNUMX.
Seperti yang anda lihat, perisian tebusan adalah yang pertama mencapai pangkalan ini:
Pangkalan data tidak mengandungi data peribadi yang sangat berharga, tetapi terdapat alamat e-mel (kurang daripada 1000), nama pertama/nama keluarga, kata laluan yang dicincang, koordinat GPS (nampaknya semasa mendaftar daripada telefon pintar), bandar kediaman dan gambar pengguna tapak yang telah mencipta akaun peribadi mereka di atasnya.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "ΠΠ°Π΄ΠΈΠΌ",
"lastName" : "",
"city" : "Π‘Π°Π½ΠΊΡ-ΠΠ΅ΡΠ΅ΡΠ±ΡΡΠ³",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Sangat banyak sampah maklumat dan rekod kosong. Contohnya, kod langganan surat berita tidak menyemak sama ada alamat e-mel dimasukkan, jadi bukannya alamat, anda boleh menulis apa sahaja yang anda mahu.
Berdasarkan hak cipta di tapak web, projek itu telah ditinggalkan pada 2018. Semua percubaan untuk menghubungi wakil projek tidak berjaya. Walau bagaimanapun, terdapat pendaftaran yang jarang berlaku di laman web ini - terdapat tiruan kehidupan.
Projek zombi kedua dalam analisis saya hari ini ialah permulaan Latvia "Roamer" (roamerapp.com/ru).
Pada 21.04.2019 April XNUMX, pangkalan data MongoDB terbuka bagi aplikasi mudah alih βRoamerβ ditemui pada pelayan di Jerman.
Pangkalan data, bersaiz 207 MB, telah tersedia secara umum sejak 24.11.2018 November XNUMX (menurut Shodan)!
Dengan semua tanda luar (alamat e-mel sokongan teknikal tidak berfungsi, pautan terputus ke gedung Google Play, hak cipta di tapak web dari 2016, dll.) aplikasi itu telah lama ditinggalkan.
Pada satu masa, hampir semua media tematik menulis tentang permulaan ini:
- VC: "Roamer permulaan Latvia adalah pembunuh perayauanΒ»
- Kampung: "Roamer: Aplikasi yang mengurangkan kos panggilan dari luar negaraΒ»
- penggodam nyawa: "Cara mengurangkan kos komunikasi semasa merayau sebanyak 10 kali ganda: RoamerΒ»
"Pembunuh" itu nampaknya telah membunuh dirinya sendiri, tetapi walaupun sudah mati dia terus mendedahkan data peribadi penggunanya...
Berdasarkan analisis maklumat dalam pangkalan data, ramai pengguna terus menggunakan aplikasi mudah alih ini. Dalam beberapa jam pemerhatian, 94 penyertaan baru muncul. Dan untuk tempoh dari 27.03.2019 Mac 10.04.2019 hingga 66 April XNUMX, XNUMX pengguna baharu mendaftar dalam aplikasi.
Log (lebih daripada 100 ribu rekod) permohonan dengan maklumat seperti:
- telefon pengguna
- akses token untuk sejarah panggilan (tersedia melalui pautan seperti: api3.roamerapp.com/call/history/1553XXXXXX)
- sejarah panggilan (nombor, panggilan masuk atau keluar, kos panggilan, tempoh, masa panggilan)
- pengendali mudah alih pengguna
- Alamat IP pengguna
- model telefon pengguna dan versi OS mudah alih padanya (contohnya, iPhone 7 12.1.4)
- alamat e-mel pengguna
- baki akaun pengguna dan mata wang
- negara pengguna
- lokasi semasa (negara) pengguna
- kod promosi
- dan banyak lagi.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Sudah tentu, tidak mungkin untuk menghubungi pemilik pangkalan itu. Kenalan di tapak tidak berfungsi, mesej di media sosial. tiada siapa bertindak balas pada rangkaian.
Apl ini masih tersedia di Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Berita tentang kebocoran maklumat dan orang dalam sentiasa boleh didapati di saluran Telegram saya "
Sumber: www.habr.com