Opäť hovorím o úniku osobných údajov, ale tentoraz vám poviem niečo o posmrtnom živote IT projektov na príklade dvoch nedávnych nálezov.
Počas auditu zabezpečenia databázy sa často stáva, že objavíte servery (, napísal som v blogu) patriaci k projektom, ktoré už dávno (alebo nie tak dávno) opustili náš svet. Takéto projekty dokonca naďalej napodobňujú život (prácu), pripomínajú zombie (zbierajú osobné údaje používateľov po ich smrti).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Začnime s projektom s hlasným názvom „Putinov tím“ (putinteam.ru).
Server s otvorenou MongoDB bol objavený 19.04.2019.
Ako môžete vidieť, ransomvér bol prvý, kto dosiahol túto základňu:
Databáza neobsahuje obzvlášť cenné osobné údaje, ale sú v nej e-mailové adresy (menej ako 1000), mená/priezvisko, hashované heslá, GPS súradnice (zrejme pri registrácii zo smartfónov), mestá bydliska a fotografie používateľov stránky, ktorí si vytvorili ich osobný účet na ňom.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Toľko odpadky informácie a prázdne záznamy. Napríklad kód odberu noviniek nekontroluje, či je zadaná e-mailová adresa, takže namiesto adresy môžete napísať, čo chcete.
Súdiac podľa autorských práv na webovej stránke bol projekt v roku 2018 opustený. Všetky pokusy kontaktovať zástupcov projektu boli neúspešné. Na stránke sú však zriedkavé registrácie - existuje imitácia života.
Druhým zombie projektom v mojej dnešnej analýze je lotyšský startup „Roamer“ (roamerapp.com/ru).
Dňa 21.04.2019. apríla XNUMX bola na serveri v Nemecku objavená otvorená databáza MongoDB mobilnej aplikácie „Roamer“.
Databáza o veľkosti 207 MB je verejne dostupná od 24.11.2018. novembra XNUMX (podľa Shodana)!
Podľa všetkých vonkajších znakov (nefunkčná e-mailová adresa technickej podpory, nefunkčné odkazy na obchod Google Play, autorské práva na web z roku 2016 atď.) je aplikácia dlhodobo opustená.
Svojho času o tomto startupe písali takmer všetky tematické médiá:
- VC: "Lotyšský startup Roamer je zabijak roamingu»
- dedina: "Roamer: Aplikácia, ktorá znižuje cenu hovorov zo zahraničia»
- lifehacker: "Ako 10-krát znížiť náklady na komunikáciu počas roamingu: Roamer»
Zdá sa, že „vrah“ sa zabil, ale aj keď je mŕtvy, naďalej zverejňuje osobné údaje svojich používateľov...
Súdiac podľa analýzy informácií v databáze, mnohí používatelia naďalej používajú túto mobilnú aplikáciu. Počas niekoľkých hodín pozorovania sa objavilo 94 nových záznamov. A za obdobie od 27.03.2019. marca 10.04.2019 do 66. apríla XNUMX sa do aplikácie zaregistrovalo XNUMX nových používateľov.
Protokoly (viac ako 100 tisíc záznamov) aplikácie s informáciami, ako sú:
- užívateľský telefón
- prístupové tokeny k histórii hovorov (dostupné prostredníctvom odkazov ako: api3.roamerapp.com/call/history/1553XXXXXX)
- história hovorov (čísla, prichádzajúci alebo odchádzajúce hovory, cena hovoru, trvanie, čas hovoru)
- mobilného operátora používateľa
- IP adresy používateľov
- model telefónu používateľa a verzia mobilného operačného systému na ňom (napr. iPhone 7 12.1.4)
- e-mailovú adresu používateľa
- zostatok na používateľskom účte a menu
- krajinu používateľa
- aktuálna poloha (krajina) používateľa
- propagačné kódy
- И многое другое.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}S majiteľmi základne sa, samozrejme, nepodarilo spojiť. Kontakty na stránke nefungujú, správy na sociálnych sieťach. na sieti nikto nereaguje.
Aplikácia je stále dostupná v obchode Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Správy o únikoch informácií a zasvätených môžete vždy nájsť na mojom kanáli Telegram "»: .
Zdroj: hab.com