Zombie ပရောဂျက်များ - ၎င်းတို့သေဆုံးပြီးသည့်တိုင် အသုံးပြုသူဒေတာပေါက်ကြားခြင်း။

ကိုယ်ရေးကိုယ်တာအချက်အလက်တွေ ပေါက်ကြားမှုတွေအကြောင်း ထပ်ပြောနေပေမယ့် ဒီတစ်ခါမှာတော့ မကြာသေးမီက တွေ့ရှိချက်နှစ်ခုရဲ့ ဥပမာကို အသုံးပြုပြီး IT ပရောဂျက်တွေရဲ့ သက်တမ်းအကြောင်း အနည်းငယ် ပြောပြပါမယ်။

ဒေတာဘေ့စ်လုံခြုံရေးစစ်ဆေးမှုတစ်ခုအတွင်း၊ သင်သည် ဆာဗာများကို ရှာဖွေတွေ့ရှိခြင်းဖြစ်တတ်သည် (ဒေတာဘေ့စ်တွေကို ဘယ်လိုရှာဖွေမလဲ။ကျွန်တော် ဘလော့ဂ်တစ်ခုတွင် ရေးခဲ့သည်) ကျွန်ုပ်တို့၏ကမ္ဘာမှ ထွက်ခွာသွားသည်မှာ ကြာမြင့်ပြီ (သို့မဟုတ် မကြာသေးမီက) ၏ ပရောဂျက်များနှင့် သက်ဆိုင်ပါသည်။ ထိုကဲ့သို့သော ပရောဂျက်များသည် ဘဝ (အလုပ်)၊ ဖုတ်ကောင်များနှင့် ဆင်တူသည် (သေဆုံးပြီးနောက် သုံးစွဲသူများ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များကို စုဆောင်းခြင်း) ကိုပင် ဆက်လက်လုပ်ဆောင်နေပါသည်။

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

“ပူတင်အဖွဲ့” (putinteam.ru) အမည်ဖြင့် ပရောဂျက်တစ်ခုဖြင့် စတင်ကြပါစို့။

ဖွင့်ထားသော MongoDB ပါသည့် ဆာဗာကို 19.04.2019/XNUMX/XNUMX တွင် ရှာဖွေတွေ့ရှိခဲ့သည်။

သင်တွေ့မြင်ရသည့်အတိုင်း၊ ransomware သည် ဤအခြေခံသို့ရောက်ရှိရန် ပထမဆုံးဖြစ်သည်။

ဒေတာဘေ့စ်တွင် အထူးတန်ဖိုးရှိသော ကိုယ်ရေးကိုယ်တာဒေတာများ မပါဝင်သော်လည်း အီးမေးလ်လိပ်စာများ (၁၀၀၀ အောက်)၊ ပထမအမည်များ/မျိုးရိုးအမည်များ၊ hashed စကားဝှက်များ၊ GPS သြဒိနိတ်များ (စမတ်ဖုန်းများမှ စာရင်းသွင်းသည့်အခါတွင် ထင်ရှားသော) နေထိုင်ရာမြို့များနှင့် ဖန်တီးထားသော ဆိုက်အသုံးပြုသူများ၏ ဓာတ်ပုံများ ရှိပါသည်။ သူတို့ရဲ့ ကိုယ်ရေးကိုယ်တာအကောင့်ကို ပေးလိုက်ပါ။

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

အများကြီး အမှိုက် သတင်းအချက်အလက်နှင့် ဗလာမှတ်တမ်းများ။ ဥပမာအားဖြင့်၊ သတင်းလွှာစာရင်းသွင်းမှုကုဒ်သည် အီးမေးလ်လိပ်စာကို ထည့်သွင်းထားကြောင်း မစစ်ဆေးဘဲ၊ ထို့ကြောင့် လိပ်စာအစား သင်အလိုရှိသည့်အတိုင်း ရေးနိုင်ပါသည်။

ဝဘ်ဆိုက်ပေါ်ရှိ မူပိုင်ခွင့်ဖြင့် အကဲဖြတ်ကာ ပရောဂျက်ကို 2018 ခုနှစ်တွင် ဖျက်သိမ်းခဲ့သည်။ ပရောဂျက် ကိုယ်စားလှယ်များကို ဆက်သွယ်ရန် ကြိုးစားမှု အားလုံး မအောင်မြင်ခဲ့ပါ။ သို့သော်၊ ဆိုက်ပေါ်တွင်ရှားပါးသောမှတ်ပုံတင်မှုများရှိသည် - ဘဝ၏အတုယူမှုတစ်ခုရှိသည်။

ယနေ့ကျွန်ုပ်၏ခွဲခြမ်းစိတ်ဖြာမှုတွင်ဒုတိယဖုတ်ကောင်ပရောဂျက်သည်လတ်ဗီးယားစတင်ဖွင့် "Roamer" (roamerapp.com/ru) ဖြစ်သည်။

ဧပြီလ 21.04.2019 ရက်၊ XNUMX ခုနှစ်တွင် ဂျာမနီရှိ ဆာဗာတစ်ခုတွင် မိုဘိုင်းအပလီကေးရှင်း “Roamer” ၏ ဖွင့်ထားသော MongoDB ဒေတာဘေ့စ်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။

အရွယ်အစား 207 MB ရှိသည့် ဒေတာဘေ့စ်ကို 24.11.2018 ခုနှစ် နိုဝင်ဘာလ XNUMX ရက် (Shodan ၏ အဆိုအရ) မှ လူသိရှင်ကြား ရရှိနိုင်ပါပြီ။

ပြင်ပလက္ခဏာများအားလုံး (နည်းပညာဆိုင်ရာပံ့ပိုးကူညီမှုအီးမေးလ်လိပ်စာ၊ Google Play စတိုးသို့ ပျက်သွားသောလင့်ခ်များ၊ 2016 ခုနှစ်မှ ဝဘ်ဆိုက်ပေါ်ရှိ မူပိုင်ခွင့်၊ စသည်ဖြင့်) ဖြင့် အပလီကေးရှင်းကို အချိန်အတော်ကြာ စွန့်ပစ်ထားသည်။

တစ်ချိန်က အကြောင်းအရာမီဒီယာအားလုံးနီးပါးသည် ဤစတင်ခြင်းလုပ်ငန်းအကြောင်း ရေးသားခဲ့သည်-

• VC: "Latvian startup Roamer သည် roaming killer ဖြစ်သည်။»
• ရှာ: "Roamer- နိုင်ငံခြားမှ ဖုန်းခေါ်ဆိုမှု ကုန်ကျစရိတ်ကို လျှော့ချပေးသည့် အပလီကေးရှင်းတစ်ခု»
• lifehacker - "Roaming လုပ်နေစဉ် ဆက်သွယ်ရေးကုန်ကျစရိတ်ကို ၁၀ ဆ လျှော့ချနည်း- Roamer»

"လူသတ်သမား" သည် သူ့ကိုယ်သူသတ်သေသွားပုံရသည်၊ သို့သော် သေဆုံးသွားသည့်တိုင် သူ၏အသုံးပြုသူများ၏ ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို ဆက်လက်ဖော်ပြနေပါသည်။

ဒေတာဘေ့စ်ရှိ အချက်အလက်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် အကဲဖြတ်ရာတွင် သုံးစွဲသူအများအပြားသည် ဤမိုဘိုင်းအက်ပလီကေးရှင်းကို ဆက်လက်အသုံးပြုကြသည်။ စောင့်ကြည့်လေ့လာပြီး နာရီအနည်းငယ်အတွင်းမှာပဲ အသစ် 94 ခုပေါ်လာတယ်။ 27.03.2019 ခုနှစ် မတ်လ 10.04.2019 ရက်မှ ဧပြီလ 66 ရက်နေ့အထိ ကာလအတွက် လျှောက်လွှာတွင် မှတ်ပုံတင်ထားသော သုံးစွဲသူအသစ် XNUMX ဦးရှိသည်။

ကဲ့သို့သောအချက်အလက်များပါရှိသောလျှောက်လွှာ၏မှတ်တမ်းများ (100 ကျော်မှတ်တမ်းများ)

• အသုံးပြုသူဖုန်း
• မှတ်တမ်းခေါ်ဆိုရန် တိုကင်များကို အသုံးပြုခွင့် (ကဲ့သို့သော လင့်ခ်များမှတစ်ဆင့် ရနိုင်သည်- api3.roamerapp.com/call/history/1553XXXXXX)
• ခေါ်ဆိုမှုမှတ်တမ်း (နံပါတ်များ၊ အဝင်အထွက်ခေါ်ဆိုမှု၊ ခေါ်ဆိုမှုကုန်ကျစရိတ်၊ ကြာချိန်၊ ခေါ်ဆိုချိန်)
• အသုံးပြုသူ၏မိုဘိုင်းအော်ပရေတာ
• အသုံးပြုသူ IP လိပ်စာများ
• ၎င်းတွင် အသုံးပြုသူ၏ ဖုန်းမော်ဒယ်နှင့် မိုဘိုင်း OS ဗားရှင်း (ဥပမာ၊ iPhone ကို 7 12.1.4)
• အသုံးပြုသူအီးမေးလ်လိပ်စာ
• အသုံးပြုသူအကောင့်လက်ကျန်ငွေနှင့်ငွေကြေး
• အသုံးပြုသူနိုင်ငံ
• အသုံးပြုသူ၏ လက်ရှိတည်နေရာ (နိုင်ငံ)
• မြှင့်တင်ရေးကုဒ်များ
• ပြီးအများကြီးပို။

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

ဟုတ်ပါတယ်၊ စခန်းပိုင်ရှင်တွေကို ဆက်သွယ်လို့ မရခဲ့ပါဘူး။ ဆိုက်ပေါ်ရှိ အဆက်အသွယ်များ အလုပ်မလုပ်ပါ၊ ဆိုရှယ်မီဒီယာပေါ်ရှိ မက်ဆေ့ချ်များ။ ကွန်ရက်များပေါ်တွင် မည်သူမျှ မတုံ့ပြန်ပါ။

အက်ပ်ကို Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973) တွင် ရနိုင်ပါသေးသည်။

သတင်းပေါက်ကြားမှုနှင့် အတွင်းသိများအကြောင်း သတင်းများကို ကျွန်ုပ်၏ Telegram ချန်နယ်တွင် အမြဲတွေ့နိုင်သည်"သတင်းပေါက်ကြားမှု" https://t.me/dataleak.

source: www.habr.com