Znowu mówię o wyciekach danych osobowych, ale tym razem opowiem trochę o życiu po projektach IT na przykładzie dwóch ostatnich znalezisk.
Podczas audytu bezpieczeństwa bazy danych często zdarza się, że odkrywasz serwery (, pisałem na blogu) należące do projektów, które już dawno (lub nie tak dawno temu) opuściły nasz świat. Takie projekty w dalszym ciągu naśladują życie (pracę), przypominając zombie (zbierające dane osobowe użytkowników po ich śmierci).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Zacznijmy od projektu o głośnej nazwie „Drużyna Putina” (putinteam.ru).
Serwer z otwartą MongoDB został odkryty 19.04.2019.
Jak widać, ransomware jako pierwszy dotarł do tej bazy:
Baza nie zawiera szczególnie cennych danych osobowych, ale są adresy e-mail (mniej niż 1000), imiona/nazwiska, zaszyfrowane hasła, współrzędne GPS (najwyraźniej przy rejestracji ze smartfonów), miasta zamieszkania oraz zdjęcia użytkowników serwisu, którzy utworzyli na nim swoje konto osobiste.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Tak wiele śmieci informacji i pustych zapisów. Przykładowo kod subskrypcji newslettera nie sprawdza, czy został wpisany adres e-mail, dlatego zamiast adresu możesz wpisać, co chcesz.
Sądząc po prawach autorskich na stronie, projekt został porzucony w 2018 roku. Wszelkie próby skontaktowania się z przedstawicielami projektu zakończyły się niepowodzeniem. Jednak na stronie są rzadkie rejestracje - jest imitacja życia.
Drugim projektem zombie w mojej dzisiejszej analizie jest łotewski startup „Roamer” (roamerapp.com/ru).
21.04.2019 kwietnia XNUMX roku na serwerze w Niemczech odkryto otwartą bazę danych MongoDB aplikacji mobilnej „Roamer”.
Baza danych o rozmiarze 207 MB jest publicznie dostępna od 24.11.2018 listopada XNUMX r. (wg Shodana)!
Po wszelkich zewnętrznych oznakach (niedziałający adres e-mail pomocy technicznej, niedziałające linki do sklepu Google Play, prawa autorskie na stronie z 2016 roku itp.) aplikacja została porzucona na dłuższy czas.
Swego czasu o tym startupie pisały niemal wszystkie media tematyczne:
- VC: "Łotewski startup Roamer to zabójca roamingu»
- wioska: "Roamer: Aplikacja obniżająca koszty połączeń z zagranicy»
- lifehaker: "Jak 10-krotnie obniżyć koszty komunikacji w roamingu: Roamer»
Wygląda na to, że „zabójca” popełnił samobójstwo, ale nawet po śmierci nadal ujawnia dane osobowe swoich użytkowników…
Sądząc po analizie informacji w bazie danych, wielu użytkowników nadal korzysta z tej aplikacji mobilnej. W ciągu kilku godzin obserwacji pojawiły się 94 nowe wpisy. Natomiast za okres od 27.03.2019 marca 10.04.2019 r. do 66 kwietnia XNUMX r. w aplikacji zarejestrowało się XNUMX nowych użytkowników.
Logi (ponad 100 tys. rekordów) aplikacji zawierające takie informacje jak:
- telefon użytkownika
- tokeny dostępu do historii połączeń (dostępne poprzez linki takie jak: api3.roamerapp.com/call/history/1553XXXXXX)
- historia połączeń (numery, połączenia przychodzące lub wychodzące, koszt połączeń, czas trwania, czas połączeń)
- operatora komórkowego użytkownika
- Adresy IP użytkowników
- model telefonu użytkownika i wersja mobilnego systemu operacyjnego (np. iPhone 7 12.1.4)
- adres e-mail użytkownika
- saldo konta użytkownika i waluta
- kraj użytkownika
- aktualna lokalizacja (kraj) użytkownika
- kody promocyjne
- И многое другое.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Oczywiście nie udało się skontaktować z właścicielami bazy. Nie działają kontakty na stronie, wiadomości na portalach społecznościowych. nikt nie reaguje w sieciach.
Aplikacja jest nadal dostępna w sklepie Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Wiadomości o wyciekach informacji i osobach poufnych zawsze można znaleźć na moim kanale Telegram ”»: .
Źródło: www.habr.com