Estou falando novamente sobre vazamentos de dados pessoais, mas desta vez contarei um pouco sobre a vida após a morte dos projetos de TI usando o exemplo de duas descobertas recentes.
Durante uma auditoria de segurança de banco de dados, muitas vezes você descobre servidores (
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Vamos começar com um projeto com o nome espalhafatoso “Equipe de Putin” (putinteam.ru).
Um servidor com MongoDB aberto foi descoberto em 19.04.2019/XNUMX/XNUMX.
Como você pode ver, o ransomware foi o primeiro a chegar a esta base:
A base de dados não contém dados pessoais particularmente valiosos, mas existem endereços de e-mail (menos de 1000), nomes/apelidos, palavras-passe com hash, coordenadas GPS (aparentemente ao registar-se a partir de smartphones), cidades de residência e fotografias de utilizadores do site que criaram sua conta pessoal nele.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Muito lixo informações e registros vazios. Por exemplo, o código de assinatura da newsletter não verifica se um endereço de e-mail foi inserido, então, em vez de um endereço, você pode escrever o que quiser.
A julgar pelos direitos autorais do site, o projeto foi abandonado em 2018. Todas as tentativas de contactar os representantes do projecto foram infrutíferas. Porém, raros são os registros no site - há uma imitação da vida.
O segundo projeto zumbi em minha análise hoje é a startup letã “Roamer” (roamerapp.com/ru).
Em 21.04.2019 de abril de XNUMX, um banco de dados MongoDB aberto do aplicativo móvel “Roamer” foi descoberto em um servidor na Alemanha.
O banco de dados, de 207 MB, está disponível publicamente desde 24.11.2018 de novembro de XNUMX (de acordo com Shodan)!
Por todos os sinais externos (endereço de e-mail de suporte técnico inoperante, links quebrados para a loja Google Play, direitos autorais no site de 2016, etc.), o aplicativo foi abandonado há muito tempo.
Ao mesmo tempo, quase todos os meios de comunicação temáticos escreveram sobre esta startup:
- vc: "A startup letã Roamer é uma assassina itinerante»
- a Vila: "Roamer: Um aplicativo que reduz o custo das ligações do exterior»
- hacker de vida: "Como reduzir os custos de comunicação em roaming em 10 vezes: Roamer»
O “assassino” parece ter se matado, mas mesmo morto continua divulgando os dados pessoais de seus usuários...
A julgar pela análise das informações do banco de dados, muitos usuários continuam utilizando este aplicativo móvel. Em poucas horas de observação, apareceram 94 novas entradas. E no período de 27.03.2019 de março de 10.04.2019 a 66 de abril de XNUMX, XNUMX novos usuários se cadastraram no aplicativo.
Logs (mais de 100 mil registros) da aplicação com informações como:
- telefone do usuário
- tokens de acesso ao histórico de chamadas (disponíveis em links como: api3.roamerapp.com/call/history/1553XXXXXX)
- histórico de chamadas (números, chamadas recebidas ou efetuadas, custo da chamada, duração, hora da chamada)
- operadora móvel do usuário
- Endereços IP do usuário
- modelo de telefone do usuário e versão do sistema operacional móvel (por exemplo, iPhone 7 12.1.4)
- endereço de e-mail do usuário
- saldo e moeda da conta do usuário
- país do usuário
- localização atual (país) do usuário
- códigos promocionais
- И многое другое.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Claro que não foi possível entrar em contato com os donos da base. Os contatos no site não funcionam, mensagens nas redes sociais. ninguém reage nas redes.
O aplicativo ainda está disponível na Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no meu canal Telegram "
Fonte: habr.com