Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Ninazungumza juu ya uvujaji wa data ya kibinafsi tena, lakini wakati huu nitakuambia kidogo juu ya maisha ya baadaye ya miradi ya IT kwa kutumia mfano wa matokeo mawili ya hivi karibuni.

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Wakati wa ukaguzi wa usalama wa hifadhidata, mara nyingi hutokea kwamba unagundua seva (jinsi ya kutafuta hifadhidata, niliandika katika blogu) mali ya miradi ambayo kwa muda mrefu (au si muda mrefu uliopita) kushoto dunia yetu. Miradi hiyo hata inaendelea kuiga maisha (kazi), inayofanana na Riddick (kukusanya data ya kibinafsi ya watumiaji baada ya kifo chao).

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

Hebu tuanze na mradi kwa jina kubwa "Timu ya Putin" (putinteam.ru).

Seva iliyo na MongoDB iliyofunguliwa iligunduliwa tarehe 19.04.2019/XNUMX/XNUMX.

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Kama unavyoona, ransomware ilikuwa ya kwanza kufikia msingi huu:

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Hifadhidata haina data muhimu sana ya kibinafsi, lakini kuna anwani za barua pepe (chini ya 1000), majina ya kwanza/majina ya ukoo, nywila za haraka, viwianishi vya GPS (inavyoonekana wakati wa kusajili kutoka kwa simu mahiri), miji ya makazi na picha za watumiaji wa tovuti ambao wameunda. akaunti yao ya kibinafsi juu yake.

{ 
    "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), 
    "role" : "USER", 
    "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", 
    "firstName" : "Вадим", 
    "lastName" : "", 
    "city" : "Санкт-Петербург", 
    "about" : "", 
    "mapMessage" : "", 
    "isMapMessageVerify" : "0", 
    "pushIds" : [

    ], 
    "username" : "5c99c5d08000ec500c21d7e1", 
    "__v" : NumberInt(0), 
    "coordinates" : {
        "lng" : 30.315868, 
        "lat" : 59.939095
    }
}

{ 
    "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), 
    "type" : "BASE", 
    "email" : "***@yandex.ru", 
    "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", 
    "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), 
    "__v" : NumberInt(0)
}

Wengi sana takataka habari na kumbukumbu tupu. Kwa mfano, msimbo wa usajili wa jarida hauangalii kuwa barua pepe imeingizwa, kwa hivyo badala ya anwani, unaweza kuandika chochote unachotaka.

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Kwa kuzingatia hakimiliki kwenye wavuti, mradi huo uliachwa mnamo 2018. Majaribio yote ya kuwasiliana na wawakilishi wa mradi hayakufaulu. Hata hivyo, kuna usajili wa nadra kwenye tovuti - kuna kuiga maisha.

Mradi wa pili wa zombie katika uchambuzi wangu leo ​​ni mwanzo wa Kilatvia "Roamer" (roamerapp.com/ru).

Mnamo Aprili 21.04.2019, XNUMX, hifadhidata iliyo wazi ya MongoDB ya programu ya rununu ya "Roamer" iligunduliwa kwenye seva nchini Ujerumani.

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Hifadhidata, ya ukubwa wa MB 207, imekuwa ikipatikana kwa umma tangu Novemba 24.11.2018, XNUMX (kulingana na Shodan)!

Kwa ishara zote za nje (haifanyi kazi barua pepe ya usaidizi wa kiufundi, viungo vilivyovunjika kwenye duka la Google Play, hakimiliki kwenye tovuti kutoka 2016, nk) maombi yameachwa kwa muda mrefu.

Miradi ya Zombie - kuvuja data ya mtumiaji hata baada ya kifo chao

Wakati mmoja, karibu media zote za mada ziliandika juu ya uanzishaji huu:

  • VC: "Kianzishaji cha Kilatvia Roamer ni muuaji anayezurura»
  • kijiji: "Roamer: Programu inayopunguza gharama ya simu kutoka nje ya nchi»
  • lifehacker: "Jinsi ya kupunguza gharama za mawasiliano wakati wa kuzurura kwa mara 10: Roamer»

"Muuaji" anaonekana kujiua, lakini hata wakati amekufa anaendelea kufichua data ya kibinafsi ya watumiaji wake ...

Kwa kuzingatia uchanganuzi wa habari kwenye hifadhidata, watumiaji wengi wanaendelea kutumia programu hii ya rununu. Ndani ya masaa machache ya uchunguzi, maingizo mapya 94 yalionekana. Na kwa kipindi cha kuanzia Machi 27.03.2019, 10.04.2019 hadi Aprili 66, XNUMX, watumiaji wapya XNUMX waliosajiliwa katika programu.

Kumbukumbu (zaidi ya rekodi elfu 100) za programu na habari kama vile:

  • simu ya mtumiaji
  • tokeni za ufikiaji wa rekodi ya simu (zinazopatikana kupitia viungo kama vile: api3.roamerapp.com/call/history/1553XXXXXX)
  • historia ya simu (nambari, simu inayoingia au inayotoka, gharama ya simu, muda, muda wa simu)
  • opereta ya simu ya mtumiaji
  • Anwani za IP za mtumiaji
  • mfano wa simu ya mtumiaji na toleo la rununu la OS juu yake (kwa mfano, iPhone 7 12.1.4)
  • anwani ya barua pepe ya mtumiaji
  • salio la akaunti ya mtumiaji na sarafu
  • nchi ya watumiaji
  • eneo la sasa (nchi) ya mtumiaji
  • misimbo ya matangazo
  • na mengi zaidi.

{ 
    "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), 
    "url" : "api3.roamerapp.com/call/history/*******5049", 
    "ip" : "67.80.1.6", 
    "method" : NumberLong(1), 
    "response" : {
        "calls" : [
            {
                "start_time" : NumberLong(1553615276), 
                "number" : "7495*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869601)
            }, 
            {
                "start_time" : NumberLong(1553615172), 
                "number" : "7499*******", 
                "accepted" : true, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(63), 
                "cost" : 0.03, 
                "call_id" : NumberLong(18869600)
            }, 
            {
                "start_time" : NumberLong(1553615050), 
                "number" : "7985*******", 
                "accepted" : false, 
                "incoming" : false, 
                "internet" : true, 
                "duration" : NumberLong(0), 
                "cost" : 0.0, 
                "call_id" : NumberLong(18869599)
            }
        ]
    }, 
    "response_code" : NumberLong(200), 
    "post" : [

    ], 
    "headers" : {
        "Host" : "api3.roamerapp.com", 
        "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", 
        "Accept" : "application/json", 
        "X-Sim-Operator" : "311480", 
        "X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"", 
        "Accept-Encoding" : "gzip, deflate", 
        "Accept-Language" : "en-us", 
        "Content-Type" : "application/json", 
        "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", 
        "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", 
        "Connection" : "keep-alive", 
        "X-App-Build" : "511", 
        "X-Lang" : "EN", 
        "X-Connection" : "WiFi"
    }, 
    "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), 
    "user_id" : "888689"
}

Bila shaka, haikuwezekana kuwasiliana na wamiliki wa msingi. Anwani kwenye tovuti haifanyi kazi, ujumbe kwenye mitandao ya kijamii. hakuna mtu anayejibu kwenye mitandao.

Programu bado inapatikana kwenye Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).

Habari kuhusu uvujaji wa habari na watu wa ndani zinaweza kupatikana kila wakati kwenye chaneli yangu ya Telegraph "Uvujaji wa habari' https://t.me/dataleak.

Chanzo: mapenzi.com

Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS 🔥 Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster