Vorbesc din nou despre scurgerile de date personale, dar de data aceasta vă voi spune puțin despre viața de apoi a proiectelor IT, folosind exemplul a două descoperiri recente.
În timpul unui audit de securitate a bazei de date, se întâmplă adesea să descoperiți servere (, am scris într-un blog) aparținând unor proiecte care au părăsit lumea noastră de mult (sau nu cu mult timp în urmă). Astfel de proiecte continuă chiar să imite viața (munca), asemănătoare cu zombi (colectarea datelor personale ale utilizatorilor după moartea acestora).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Să începem cu un proiect cu numele tare „Echipa lui Putin” (putinteam.ru).
Un server cu MongoDB deschis a fost descoperit pe 19.04.2019.
După cum puteți vedea, ransomware-ul a fost primul care a ajuns la această bază:
Baza de date nu conține date personale deosebit de valoroase, dar există adrese de e-mail (mai puțin de 1000), prenume/prenume, parole hashed, coordonate GPS (aparent la înregistrarea de pe smartphone-uri), orașe de reședință și fotografii ale utilizatorilor site-ului care au creat contul lor personal pe el.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Foarte mult gunoi informații și înregistrări goale. De exemplu, codul de abonament la newsletter nu verifică dacă este introdusă o adresă de email, așa că în loc de o adresă, poți scrie ce vrei.
Judecând după drepturile de autor de pe site, proiectul a fost abandonat în 2018. Toate încercările de a contacta reprezentanții proiectului au eșuat. Cu toate acestea, există înregistrări rare pe site - există o imitație a vieții.
Al doilea proiect zombi din analiza mea de astăzi este startup-ul leton „Roamer” (roamerapp.com/ru).
Pe 21.04.2019 aprilie XNUMX, pe un server din Germania a fost descoperită o bază de date MongoDB deschisă a aplicației mobile „Roamer”.
Baza de date, cu o dimensiune de 207 MB, este disponibilă public din 24.11.2018 noiembrie XNUMX (conform lui Shodan)!
Prin toate semnele externe (adresa de e-mail a suportului tehnic care nu funcționează, link-uri rupte către magazinul Google Play, drepturi de autor pe site din 2016 etc.) aplicația a fost abandonată de mult timp.
La un moment dat, aproape toate mass-media tematice au scris despre acest startup:
- VC: "Startup-ul leton Roamer este un criminal în roaming»
- satul: "Roamer: O aplicație care reduce costul apelurilor din străinătate»
- hacker de viață: "Cum să reduceți costurile de comunicare în roaming de 10 ori: Roamer»
„Ucigașul” pare să se fi sinucis, dar chiar și atunci când este mort, el continuă să dezvăluie datele personale ale utilizatorilor săi...
Judecând după analiza informațiilor din baza de date, mulți utilizatori continuă să folosească această aplicație mobilă. În câteva ore de observare, au apărut 94 de noi intrări. Iar pentru perioada 27.03.2019 martie 10.04.2019 – 66 aprilie XNUMX, în aplicație s-au înregistrat XNUMX de utilizatori noi.
Jurnalele (mai mult de 100 de mii de înregistrări) ale aplicației cu informații precum:
- telefonul utilizatorului
- jetoane de acces la istoricul apelurilor (disponibile prin link-uri precum: api3.roamerapp.com/call/history/1553XXXXXX)
- istoricul apelurilor (numere, apel primit sau ieșit, costul apelului, durata, ora apelului)
- operatorul de telefonie mobilă al utilizatorului
- Adresele IP ale utilizatorilor
- modelul de telefon al utilizatorului și versiunea sistemului de operare mobil de pe acesta (de exemplu, iPhone 7 12.1.4)
- adresa de e-mail a utilizatorului
- soldul contului de utilizator și moneda
- tara utilizator
- locația curentă (țara) a utilizatorului
- coduri promoționale
- și multe altele.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Desigur, nu a fost posibil să contactați proprietarii bazei. Contactele de pe site nu funcționează, mesajele de pe rețelele de socializare. nimeni nu reactioneaza in retele.
Aplicația este încă disponibilă în Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Știri despre scurgeri de informații și persoane din interior pot fi întotdeauna găsite pe canalul meu Telegram "»: .
Sursa: www.habr.com