Ik heb het weer over het lekken van persoonlijke gegevens, maar deze keer zal ik je iets vertellen over het hiernamaals van IT-projecten aan de hand van het voorbeeld van twee recente vondsten.
Tijdens een databasebeveiligingsaudit komt het vaak voor dat u servers ontdekt (
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Laten we beginnen met een project met de luide naam “Poetin’s Team” (putinteam.ru).
Op 19.04.2019-XNUMX-XNUMX werd een server met open MongoDB ontdekt.
Zoals je kunt zien, was de ransomware de eerste die deze basis bereikte:
De database bevat geen bijzonder waardevolle persoonlijke gegevens, maar er zijn e-mailadressen (minder dan 1000), voornamen/achternamen, gehashte wachtwoorden, GPS-coördinaten (blijkbaar bij registratie vanaf smartphones), woonplaatsen en foto's van sitegebruikers die hun persoonlijke account daarop.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Zo veel сорной informatie en lege records. De nieuwsbriefabonnementscode controleert bijvoorbeeld niet of er een e-mailadres is ingevoerd, dus in plaats van een adres kunt u schrijven wat u maar wilt.
Afgaande op het copyright op de website werd het project in 2018 stopgezet. Alle pogingen om contact op te nemen met projectvertegenwoordigers waren niet succesvol. Er zijn echter zeldzame registraties op de site - er is een imitatie van het leven.
Het tweede zombieproject in mijn analyse van vandaag is de Letse startup “Roamer” (roamerapp.com/ru).
Op 21.04.2019 april XNUMX werd een open MongoDB-database van de mobiele applicatie “Roamer” ontdekt op een server in Duitsland.
De database, 207 MB groot, is sinds 24.11.2018 november XNUMX publiekelijk beschikbaar (volgens Shodan)!
Door alle uiterlijke tekenen (niet werkend e-mailadres voor technische ondersteuning, verbroken links naar de Google Play Store, copyright op de website uit 2016, etc.) is de applicatie al lange tijd verlaten.
Ooit schreven bijna alle thematische media over deze startup:
- VC: "De Letse startup Roamer is een roaming killer»
- het dorp: "Roamer: Een applicatie die de kosten van bellen vanuit het buitenland verlaagt»
- lifehacker: "Hoe u de communicatiekosten tijdens roaming tien keer kunt verlagen: Roamer»
De “moordenaar” lijkt zelfmoord te hebben gepleegd, maar zelfs als hij dood is, blijft hij de persoonlijke gegevens van zijn gebruikers vrijgeven...
Afgaande op de analyse van informatie in de database blijven veel gebruikers deze mobiele applicatie gebruiken. Binnen een paar uur na observatie verschenen er 94 nieuwe inzendingen. En voor de periode van 27.03.2019 maart 10.04.2019 tot 66 april XNUMX registreerden XNUMX nieuwe gebruikers zich in de applicatie.
Logboeken (meer dan 100 records) van de applicatie met informatie zoals:
- gebruiker telefoon
- toegangstokens tot oproepgeschiedenis (beschikbaar via links zoals: api3.roamerapp.com/call/history/1553XXXXXX)
- belgeschiedenis (nummers, inkomende of uitgaande oproep, gesprekskosten, duur, tijdstip van gesprek)
- mobiele operator van de gebruiker
- IP-adressen van gebruikers
- het telefoonmodel van de gebruiker en de mobiele OS-versie erop (bijvoorbeeld iPhone 7 12.1.4)
- e-mailadres van de gebruiker
- saldo en valuta van gebruikersaccount
- gebruikersland
- huidige locatie (land) van de gebruiker
- promotiecodes
- en vele andere dingen.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Het was natuurlijk niet mogelijk om contact op te nemen met de eigenaren van de basis. Contacten op de site werken niet, berichten op sociale media. niemand reageert op netwerken.
De app is nog steeds beschikbaar in de Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nieuws over informatielekken en insiders vind je altijd op mijn Telegram-kanaal"
Bron: www.habr.com