Pinag-uusapan ko muli ang tungkol sa pagtagas ng personal na data, ngunit sa pagkakataong ito sasabihin ko sa iyo ng kaunti ang tungkol sa kabilang buhay ng mga proyekto sa IT gamit ang halimbawa ng dalawang kamakailang natuklasan.
Sa panahon ng pag-audit sa seguridad ng database, kadalasang nangyayari na nakatuklas ka ng mga server (
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. ΠΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π²Π·ΡΡΠ° Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»Π° ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Π° Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Magsimula tayo sa isang proyekto na may malakas na pangalan na "Putin's Team" (putinteam.ru).
Isang server na may bukas na MongoDB ang natuklasan noong 19.04.2019/XNUMX/XNUMX.
Tulad ng nakikita mo, ang ransomware ang unang nakarating sa base na ito:
Ang database ay hindi naglalaman ng partikular na mahalagang personal na data, ngunit may mga email address (mas mababa sa 1000), mga unang pangalan/apelyido, mga password na na-hash, mga coordinate ng GPS (tila kapag nagrerehistro mula sa mga smartphone), mga lungsod ng tirahan at mga larawan ng mga gumagamit ng site na lumikha ang kanilang personal na account dito.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "ΠΠ°Π΄ΠΈΠΌ",
"lastName" : "",
"city" : "Π‘Π°Π½ΠΊΡ-ΠΠ΅ΡΠ΅ΡΠ±ΡΡΠ³",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}
Ang dami basura impormasyon at walang laman na mga tala. Halimbawa, hindi sinusuri ng code ng subscription sa newsletter kung may ipinasok na email address, kaya sa halip na isang address, maaari kang sumulat ng kahit anong gusto mo.
Sa paghusga sa copyright sa website, ang proyekto ay inabandona noong 2018. Ang lahat ng mga pagtatangka na makipag-ugnayan sa mga kinatawan ng proyekto ay hindi nagtagumpay. Gayunpaman, may mga bihirang pagpaparehistro sa site - mayroong isang imitasyon ng buhay.
Ang pangalawang proyekto ng zombie sa aking pagsusuri ngayon ay ang Latvian startup na "Roamer" (roamerapp.com/ru).
Noong Abril 21.04.2019, XNUMX, natuklasan ang isang bukas na database ng MongoDB ng mobile application na βRoamerβ sa isang server sa Germany.
Ang database, 207 MB ang laki, ay available na sa publiko mula noong Nobyembre 24.11.2018, XNUMX (ayon kay Shodan)!
Sa pamamagitan ng lahat ng panlabas na palatandaan (hindi gumagana ang email address ng teknikal na suporta, mga sirang link sa Google Play store, copyright sa website mula 2016, atbp.) ang application ay inabandona nang mahabang panahon.
Sa isang pagkakataon, halos lahat ng pampakay na media ay sumulat tungkol sa startup na ito:
- VC: "Ang Latvian startup Roamer ay isang roaming killerΒ»
- ang-nayon: "Roamer: Isang application na nagpapababa sa halaga ng mga tawag mula sa ibang bansaΒ»
- lifehacker: "Paano bawasan ang mga gastos sa komunikasyon habang nag-roaming ng 10 beses: RoamerΒ»
Ang "killer" ay tila pinatay ang kanyang sarili, ngunit kahit na patay na ay patuloy niyang ibinubunyag ang personal na data ng kanyang mga gumagamit...
Sa paghusga sa pamamagitan ng pagsusuri ng impormasyon sa database, maraming mga gumagamit ang patuloy na gumagamit ng mobile application na ito. Sa loob ng ilang oras ng pagmamasid, 94 na bagong entry ang lumitaw. At para sa panahon mula Marso 27.03.2019, 10.04.2019 hanggang Abril 66, XNUMX, XNUMX na bagong user ang nakarehistro sa application.
Mga log (higit sa 100 libong mga tala) ng application na may impormasyon tulad ng:
- telepono ng gumagamit
- mga token sa pag-access sa kasaysayan ng tawag (magagamit sa pamamagitan ng mga link tulad ng: api3.roamerapp.com/call/history/1553XXXXXX)
- history ng tawag (mga numero, papasok o papalabas na tawag, halaga ng tawag, tagal, oras ng tawag)
- mobile operator ng gumagamit
- Mga IP address ng user
- modelo ng telepono ng user at bersyon ng mobile OS dito (halimbawa, iPhone 7 12.1.4)
- email address ng gumagamit
- balanse at pera ng user account
- bansa ng gumagamit
- kasalukuyang lokasyon (bansa) ng gumagamit
- mga promotional code
- at marami pang iba.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}
Siyempre, hindi posible na makipag-ugnay sa mga may-ari ng base. Ang mga contact sa site ay hindi gumagana, mga mensahe sa social media. walang nagre-react sa mga network.
Available pa rin ang app sa Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Ang mga balita tungkol sa mga pagtagas ng impormasyon at mga tagaloob ay palaging matatagpuan sa aking Telegram channel "
Pinagmulan: www.habr.com