Jeg snakker om personlige datalekkasjer igjen, men denne gangen skal jeg fortelle deg litt om etterlivet til IT-prosjekter ved å bruke eksemplet med to nylige funn.
Under en databasesikkerhetsrevisjon hender det ofte at du oppdager servere (, skrev jeg i en blogg) som tilhører prosjekter som for lenge (eller ikke så lenge siden) har forlatt vår verden. Slike prosjekter fortsetter til og med å imitere livet (arbeid), som ligner zombier (samler inn personlige data om brukere etter deres død).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.La oss starte med et prosjekt med det høylytte navnet "Putins team" (putinteam.ru).
En server med åpen MongoDB ble oppdaget 19.04.2019.
Som du kan se, var løsepengevaren den første som nådde denne basen:
Databasen inneholder ikke spesielt verdifulle personopplysninger, men det er e-postadresser (mindre enn 1000), fornavn/etternavn, hashed passord, GPS-koordinater (tilsynelatende ved registrering fra smarttelefoner), bostedsbyer og fotografier av nettstedbrukere som har opprettet deres personlige konto på den.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Så mange søppel informasjon og tomme poster. For eksempel sjekker ikke nyhetsbrevets abonnementskode at en e-postadresse er oppgitt, så i stedet for en adresse kan du skrive hva du vil.
Etter opphavsretten på nettstedet å dømme, ble prosjektet forlatt i 2018. Alle forsøk på å kontakte prosjektrepresentanter var mislykket. Imidlertid er det sjeldne registreringer på nettstedet - det er en etterligning av livet.
Det andre zombieprosjektet i min analyse i dag er den latviske oppstarten «Roamer» (roamerapp.com/ru).
21.04.2019. april XNUMX ble en åpen MongoDB-database for mobilapplikasjonen «Roamer» oppdaget på en server i Tyskland.
Databasen, 207 MB i størrelse, har vært offentlig tilgjengelig siden 24.11.2018. november XNUMX (ifølge Shodan)!
Av alle eksterne tegn (ikke fungerer teknisk støtte-e-postadresse, ødelagte lenker til Google Play-butikken, opphavsrett på nettstedet fra 2016, etc.) har applikasjonen blitt forlatt i lang tid.
På en gang skrev nesten alle tematiske medier om denne oppstarten:
- VC: "Latvisk oppstart Roamer er en roaming-morder»
- landsbyen: "Roamer: En applikasjon som reduserer kostnadene for samtaler fra utlandet»
- lifehacker: "Slik reduserer du kommunikasjonskostnadene mens du roamer med 10 ganger: Roamer»
"Draperen" ser ut til å ha drept seg selv, men selv når han er død, fortsetter han å avsløre personopplysningene til brukerne hans...
Ut fra analysen av informasjonen i databasen, fortsetter mange brukere å bruke denne mobilapplikasjonen. I løpet av få timer etter observasjon dukket det opp 94 nye oppføringer. Og for perioden fra 27.03.2019. mars 10.04.2019 til 66. april XNUMX har XNUMX nye brukere registrert seg i applikasjonen.
Logger (mer enn 100 tusen poster) av applikasjonen med informasjon som:
- brukertelefon
- tilgangstokener til anropshistorikk (tilgjengelig via lenker som: api3.roamerapp.com/call/history/1553XXXXXX)
- anropshistorikk (numre, innkommende eller utgående anrop, anropskostnad, varighet, anropstidspunkt)
- brukerens mobiloperatør
- Brukers IP-adresser
- brukerens telefonmodell og mobil OS-versjon på den (f.eks. iPhone 7 12.1.4)
- brukerens e-postadresse
- brukerkontosaldo og valuta
- brukerland
- brukerens nåværende plassering (land).
- kampanjekoder
- og mye mer.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Det var selvsagt ikke mulig å kontakte eierne av basen. Kontakter på siden fungerer ikke, meldinger på sosiale medier. ingen reagerer på nettverk.
Appen er fortsatt tilgjengelig på Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nyheter om informasjonslekkasjer og innsidere kan alltid finnes på min Telegram-kanal "' .
Kilde: www.habr.com