Yine kişisel veri sızıntılarından bahsediyorum ama bu kez yakın zamandaki iki bulgu örneğini kullanarak size BT projelerinin ahireti hakkında biraz bilgi vereceğim.
Bir veritabanı güvenliği denetimi sırasında sıklıkla sunucuları keşfedersiniz (, bir blogda yazdım) uzun süredir (ya da çok uzun zaman önce) dünyamızı terk eden projelere ait. Bu tür projeler, zombilere benzeyen (kullanıcıların ölümlerinden sonra kişisel verilerini toplayan) yaşamı (işi) taklit etmeye bile devam ediyor.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Yüksek sesle “Putin'in Ekibi” (putinteam.ru) adlı bir projeyle başlayalım.
19.04.2019 tarihinde MongoDB'nin açık olduğu bir sunucu keşfedildi.
Gördüğünüz gibi fidye yazılımı bu üsse ulaşan ilk yazılım oldu:
Veritabanı özellikle değerli kişisel veriler içermez, ancak e-posta adresleri (1000'den az), adlar/soyadlar, karma şifreler, GPS koordinatları (görünüşe göre akıllı telefonlardan kayıt olurken), ikamet edilen şehirler ve site kullanıcılarının fotoğraflarını oluşturmuşlardır. kişisel hesapları bunda.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Çok çöp bilgi ve boş kayıtlar. Örneğin, bülten abonelik kodu bir e-posta adresinin girilip girilmediğini kontrol etmez, dolayısıyla adres yerine istediğinizi yazabilirsiniz.
Web sitesindeki telif haklarına bakılırsa proje 2018 yılında terk edildi. Proje temsilcileriyle iletişime geçme girişimlerinin tümü başarısız oldu. Ancak sitede nadir kayıtlar var - hayatın taklidi var.
Bugünkü analizimdeki ikinci zombi projesi Letonyalı girişim "Roamer" (roamerapp.com/ru).
21.04.2019 Nisan XNUMX'da Almanya'daki bir sunucuda "Roamer" mobil uygulamasının açık MongoDB veritabanı keşfedildi.
207 MB büyüklüğündeki veritabanı, 24.11.2018 Kasım XNUMX'den bu yana halka açık (Shodan'a göre)!
Tüm dış belirtilere göre (teknik destek e-posta adresinin çalışmaması, Google Play mağazasına giden bozuk bağlantılar, web sitesindeki 2016'dan itibaren telif hakkı vb.) uygulama uzun süre terk edildi.
Bir zamanlar neredeyse tüm tematik medya bu girişim hakkında şunları yazdı:
- VC: "Letonyalı startup Roamer başıboş bir katil»
- köy: "Roamer: Yurt dışından arama maliyetini düşüren uygulama»
- cankurtaran korsanı: "Dolaşımdayken iletişim maliyetleri nasıl 10 kat azaltılır: Roamer»
"Katil" kendini öldürmüş gibi görünüyor ama öldüğünde bile kullanıcılarının kişisel verilerini açıklamaya devam ediyor...
Veritabanındaki bilgilerin analizine bakılırsa birçok kullanıcı bu mobil uygulamayı kullanmaya devam ediyor. Birkaç saatlik gözlem sonrasında 94 yeni giriş ortaya çıktı. Ve 27.03.2019 Mart 10.04.2019'dan 66 Nisan XNUMX'a kadar olan dönemde uygulamaya XNUMX yeni kullanıcı kaydoldu.
Uygulamanın aşağıdaki gibi bilgileri içeren günlükleri (100 binden fazla kayıt):
- kullanıcı telefonu
- çağrı geçmişine erişim jetonları (aşağıdaki gibi bağlantılardan edinilebilir): api3.roamerapp.com/call/history/1553XXXXXX)
- çağrı geçmişi (numaralar, gelen veya giden çağrı, çağrı ücreti, süre, çağrı zamanı)
- kullanıcının mobil operatörü
- Kullanıcı IP adresleri
- kullanıcının telefon modeli ve mobil işletim sistemi sürümü (örneğin, iPhone 7 12.1.4)
- kullanıcı e-posta adresi
- kullanıcı hesabı bakiyesi ve para birimi
- kullanıcı ülkesi
- kullanıcının mevcut konumu (ülkesi)
- promosyon kodları
- ve çok daha fazlası.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Üssün sahipleriyle iletişime geçmek elbette mümkün olmadı. Sitedeki irtibatlar çalışmıyor, sosyal medyadaki mesajlar. ağlarda kimse tepki vermiyor.
Uygulama hâlâ Apple App Store'da mevcuttur (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Bilgi sızıntıları ve içeriden öğrenenlerle ilgili haberleri her zaman Telegram kanalımda bulabilirsiniz "" .
Kaynak: habr.com