ฉันกำลังพูดถึงการรั่วไหลของข้อมูลส่วนบุคคลอีกครั้ง แต่คราวนี้ฉันจะบอกคุณเล็กน้อยเกี่ยวกับชีวิตหลังความตายของโครงการด้านไอทีโดยใช้ตัวอย่างการค้นพบสองรายการล่าสุด
ในระหว่างการตรวจสอบความปลอดภัยของฐานข้อมูล มักจะเกิดขึ้นที่คุณค้นพบเซิร์ฟเวอร์ (ฉันเขียนในบล็อก) ที่เป็นของโครงการที่ออกจากโลกของเราไปนานแล้ว (หรือไม่นานมานี้) โครงการดังกล่าวยังคงเลียนแบบชีวิต (งาน) คล้ายกับซอมบี้ (รวบรวมข้อมูลส่วนบุคคลของผู้ใช้หลังการเสียชีวิต)
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.เริ่มจากโปรเจ็กต์ที่มีชื่อดังว่า "ทีมของปูติน" (putinteam.ru)
พบเซิร์ฟเวอร์ที่เปิด MongoDB เมื่อวันที่ 19.04.2019/XNUMX/XNUMX
อย่างที่คุณเห็น Ransomware เป็นกลุ่มแรกที่เข้าถึงฐานนี้:
ฐานข้อมูลไม่มีข้อมูลส่วนบุคคลที่มีค่าเป็นพิเศษ แต่มีที่อยู่อีเมล (น้อยกว่า 1000 ชื่อ) ชื่อ/นามสกุล รหัสผ่านที่แฮช พิกัด GPS (ปรากฏชัดเมื่อลงทะเบียนจากสมาร์ทโฟน) เมืองที่พำนัก และรูปถ่ายของผู้ใช้เว็บไซต์ที่สร้าง บัญชีส่วนตัวของพวกเขาในนั้น
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}มากมาย ขยะ ข้อมูลและบันทึกที่ว่างเปล่า ตัวอย่างเช่น รหัสสมัครรับจดหมายข่าวไม่ได้ตรวจสอบว่ามีการป้อนที่อยู่อีเมล ดังนั้นแทนที่จะเขียนที่อยู่ คุณสามารถเขียนสิ่งที่คุณต้องการได้
เมื่อพิจารณาจากลิขสิทธิ์บนเว็บไซต์ โครงการนี้ถูกยกเลิกในปี 2018 ความพยายามในการติดต่อตัวแทนโครงการทั้งหมดไม่ประสบผลสำเร็จ อย่างไรก็ตาม มีการลงทะเบียนบนเว็บไซต์ที่หายาก - มีการเลียนแบบชีวิต
โปรเจ็กต์ซอมบี้ตัวที่สองในการวิเคราะห์ของฉันในวันนี้คือสตาร์ทอัพชาวลัตเวีย “Roamer” (roamerapp.com/ru)
เมื่อวันที่ 21.04.2019 เมษายน XNUMX ฐานข้อมูล MongoDB แบบเปิดของแอปพลิเคชันมือถือ “Roamer” ถูกค้นพบบนเซิร์ฟเวอร์ในประเทศเยอรมนี
ฐานข้อมูลขนาด 207 MB เปิดเผยต่อสาธารณะตั้งแต่วันที่ 24.11.2018 พฤศจิกายน XNUMX (ตาม Shodan)!
โดยสัญญาณภายนอกทั้งหมด (ที่อยู่อีเมลสนับสนุนด้านเทคนิคไม่ทำงาน, ลิงก์ที่เสียหายไปยังร้านค้า Google Play, ลิขสิทธิ์บนเว็บไซต์ตั้งแต่ปี 2016 เป็นต้น) แอปพลิเคชันถูกยกเลิกไปเป็นเวลานาน
ครั้งหนึ่งสื่อเฉพาะเรื่องเกือบทั้งหมดเขียนเกี่ยวกับสตาร์ทอัพนี้:
- วีซี: "Roamer สตาร์ทอัพชาวลัตเวียเป็นนักฆ่าโรมมิ่ง»
- หมู่บ้าน: "Roamer: แอพพลิเคชั่นที่ช่วยลดต้นทุนค่าโทรจากต่างประเทศ»
- ไลฟ์แฮกเกอร์: "วิธีลดต้นทุนการสื่อสารขณะโรมมิ่ง 10 เท่า: Roamer»
“นักฆ่า” ดูเหมือนจะฆ่าตัวตาย แต่ถึงแม้จะตายไปแล้ว เขาก็ยังคงเปิดเผยข้อมูลส่วนตัวของผู้ใช้ของเขาต่อไป...
เมื่อพิจารณาจากการวิเคราะห์ข้อมูลในฐานข้อมูล ผู้ใช้จำนวนมากยังคงใช้แอปพลิเคชันมือถือนี้ต่อไป ภายในไม่กี่ชั่วโมงหลังจากการสังเกต มีรายการใหม่ 94 รายการปรากฏขึ้น และในช่วงตั้งแต่วันที่ 27.03.2019 มีนาคม 10.04.2019 ถึงวันที่ 66 เมษายน XNUMX มีผู้ใช้ใหม่ลงทะเบียนในแอปพลิเคชัน XNUMX ราย
บันทึก (มากกว่า 100 บันทึก) ของแอปพลิเคชันพร้อมข้อมูลเช่น:
- โทรศัพท์ของผู้ใช้
- โทเค็นการเข้าถึงประวัติการโทร (มีให้ผ่านลิงก์เช่น: api3.roamerapp.com/call/history/1553XXXXXX)
- ประวัติการโทร (หมายเลข, สายเรียกเข้าหรือโทรออก, ค่าโทร, ระยะเวลา, เวลาที่โทร)
- ผู้ให้บริการมือถือของผู้ใช้
- ที่อยู่ IP ของผู้ใช้
- รุ่นโทรศัพท์ของผู้ใช้และเวอร์ชันระบบปฏิบัติการมือถือ (เช่น iPhone 7 12.1.4)
- ที่อยู่อีเมลของผู้ใช้
- ยอดคงเหลือของบัญชีผู้ใช้และสกุลเงิน
- ประเทศของผู้ใช้
- ตำแหน่งปัจจุบัน (ประเทศ) ของผู้ใช้
- รหัสส่งเสริมการขาย
- และอื่น ๆ อีกมากมาย
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}แน่นอนว่าไม่สามารถติดต่อกับเจ้าของฐานได้ ผู้ติดต่อบนเว็บไซต์ใช้งานไม่ได้ ข้อความบนโซเชียลมีเดีย ไม่มีใครโต้ตอบบนเครือข่าย
แอปยังคงมีอยู่ใน Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973)
ข่าวเกี่ยวกับการรั่วไหลของข้อมูลและคนวงในสามารถพบได้ในช่องโทรเลขของฉัน "": .
ที่มา: will.com