Spet govorim o uhajanju osebnih podatkov, a tokrat vam bom povedal nekaj o posmrtnem življenju IT projektov na primeru dveh nedavnih najdb.
Med revizijo varnosti baze podatkov se pogosto zgodi, da odkrijete strežnike (, sem napisal v blogu), ki pripadajo projektom, ki so že zdavnaj (ali ne tako dolgo nazaj) zapustili naš svet. Takšni projekti celo še naprej posnemajo življenje (delo), spominjajo na zombije (zbiranje osebnih podatkov uporabnikov po njihovi smrti).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Začnimo s projektom z glasnim imenom »Putinova ekipa« (putinteam.ru).
Strežnik z odprtim MongoDB je bil odkrit 19.04.2019. XNUMX. XNUMX.
Kot lahko vidite, je izsiljevalska programska oprema prva dosegla to bazo:
Zbirka podatkov ne vsebuje posebej dragocenih osebnih podatkov, so pa e-poštni naslovi (manj kot 1000), imena/priimki, zgoščena gesla, GPS koordinate (očitno pri registraciji s pametnega telefona), mesta bivanja in fotografije uporabnikov strani, ki so ustvarili svoj osebni račun na njem.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Toliko smeti informacije in prazne evidence. Koda za prijavo na novice na primer ne preverja, ali je vnesen e-poštni naslov, zato lahko namesto naslova napišete, kar želite.
Sodeč po avtorskih pravicah na spletni strani je bil projekt leta 2018 opuščen. Vsi poskusi stika s predstavniki projekta so bili neuspešni. Vendar pa so na spletnem mestu redke registracije - obstaja imitacija življenja.
Drugi zombi projekt v moji današnji analizi je latvijski startup "Roamer" (roamerapp.com/ru).
21.04.2019. aprila XNUMX je bila na strežniku v Nemčiji odkrita odprta zbirka podatkov MongoDB mobilne aplikacije »Roamer«.
Baza, velika 207 MB, je javno dostopna od 24.11.2018. novembra XNUMX (po Shodan)!
Po vseh zunanjih znakih (nedelujoč elektronski naslov tehnične podpore, nedelujoče povezave do trgovine Google Play, avtorske pravice na spletni strani iz leta 2016 itd.) je aplikacija že dolgo opuščena.
Nekoč so skoraj vsi tematski mediji pisali o tem zagonu:
- VC: "Latvijski startup Roamer je ubijalec gostovanja»
- vas: "Roamer: Aplikacija, ki zniža stroške klicev iz tujine»
- lifehacker: "Kako zmanjšati stroške komunikacije med gostovanjem za 10-krat: Roamer»
Zdi se, da se je "morilec" ubil, a tudi ko je mrtev, še naprej razkriva osebne podatke svojih uporabnikov ...
Sodeč po analizi informacij v bazi, veliko uporabnikov še naprej uporablja to mobilno aplikacijo. V nekaj urah opazovanja se je pojavilo 94 novih vnosov. In za obdobje od 27.03.2019. marca 10.04.2019 do 66. aprila XNUMX se je v aplikacijo prijavilo XNUMX novih uporabnikov.
Dnevniki (več kot 100 tisoč zapisov) aplikacije z informacijami, kot so:
- telefon uporabnika
- žetoni za dostop do zgodovine klicev (na voljo prek povezav, kot so: api3.roamerapp.com/call/history/1553XXXXXX)
- zgodovina klicev (številke, dohodni ali odhodni klic, stroški klica, trajanje, čas klica)
- mobilnega operaterja uporabnika
- IP naslovi uporabnikov
- uporabnikov model telefona in različico mobilnega OS na njem (npr. iPhone 7 12.1.4)
- elektronski naslov uporabnika
- stanje in valuta uporabniškega računa
- državo uporabnika
- trenutna lokacija (država) uporabnika
- promocijske kode
- in še veliko več.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Z lastniki baze seveda ni bilo mogoče priti v stik. Stiki na spletnem mestu ne delujejo, sporočila na družbenih medijih. na omrežjih nihče ne reagira.
Aplikacija je še vedno na voljo v trgovini Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Novice o uhajanju informacij in insajderjih lahko vedno najdete na mojem kanalu Telegram "»: .
Vir: www.habr.com