Я знову про виток персональних даних, але цього разу розповім трохи про потойбічний світ ІТ-проектів на прикладі двох недавніх знахідок.
У процесі аудиту безпеки баз даних часто буває, що виявляєш сервера (, я писав у блозі), що належать проектам, що давно (або не так давно) покинули наш світ. Такі проекти навіть продовжують імітувати життя (роботу), нагадуючи зомбі (збираючи персональні дані користувачів після смерті).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Почнемо з проекту з гучною назвою "Команда Путіна" (putinteam.ru).
Сервер з відкритою MongoDB було знайдено 19.04.2019.
Як можна помітити, першим до цієї бази дістався «вимагач»:
В базі немає особливо цінних персональних даних, але є адреси електронної пошти (менше 1000), імена/прізвища, хешовані паролі, GPS-координати (мабуть при реєстрації зі смартфонів), міста проживання та фотографії користувачів сайту, які створили на ньому свій особистий кабінет.
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}Дуже багато сміттєвою інформації та порожніх записів. Наприклад, код передплати на розсилку новин не перевіряє, чи введено адресу електронної пошти, тому замість адреси можна писати все, що завгодно.
Судячи з копірайту на сайті, проект покинутий у 2018 році. Усі спроби зв'язатися із представниками проекту були невдалими. Однак, рідкісні реєстрації на сайті йдуть – очевидна імітація життя.
Другий зомбі-проект у моєму сьогоднішньому розборі це латвійський стартап Roamer (roamerapp.com/ru).
21.04.2019 на сервері в Німеччині було виявлено відкриту базу даних MongoDB мобільного додатка «Roamer».
База, розміром 207 Мб, знаходиться у відкритому доступі з 24.11.2018 (за даними Shodan)!
За всіма зовнішніми ознаками (не адреса електронної пошти технічної підтримки, що працює, биті посилання на магазин Google Play, копірайт на сайті 2016 року і т.п.) – додаток давно занедбаний.
Свого часу про цей стартап написали майже всі тематичні ЗМІ:
- VC: «Латвійський стартап Roamer - вбивця роумінгу»
- the-village: «Roamer: Додаток, що знижує вартість дзвінків з-за кордону»
- lifehacker: «Як скоротити витрати на зв'язок у роумінгу в 10 разів: Roamer»
«Вбивця» здається вбився сам, але навіть мертвим продовжує розголошувати персональні дані своїх користувачів.
Судячи з аналізу інформації в базі, багато користувачів продовжують використовувати цей мобільний додаток. За кілька годин спостереження з'явилося 94 нових записів. А за період з 27.03.2019 по 10.04.2019 у додатку зареєструвалося 66 нових користувачів.
У відкритому доступі знаходяться логи (понад 100 тис. записів) програми з такою інформацією як:
- телефон користувача
- токени доступу до історії дзвінків (доступні за посиланнями виду: api3.roamerapp.com/call/history/1553XXXXXX)
- історія дзвінків (номери, вхідні або вихідні дзвінки, вартість дзвінка, тривалість, час дзвінка)
- мобільний оператор користувача
- IP-адреси користувача
- модель телефону користувача та версія мобільних OS на ньому (наприклад, iPhone 7 12.1.4)
- адресу електронної пошти користувача
- баланс та валюта рахунку користувача
- країна користувача
- поточне розташування (країна) користувача
- промокоди
- і багато іншого.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}Зв'язатися з власниками бази, зрозуміло, не вдалося. Контакти на сайті не працюють, на повідомлення у соц. мережах ніхто не реагує.
У Apple App Store додаток, як і раніше, доступний (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Новини про виток інформації та інсайдерів завжди можна знайти на моєму Telegram-каналі «' .
Джерело: habr.com