میں ایک بار پھر ذاتی ڈیٹا لیک ہونے کے بارے میں بات کر رہا ہوں، لیکن اس بار میں آپ کو دو حالیہ دریافتوں کی مثال کا استعمال کرتے ہوئے آئی ٹی پروجیکٹس کے بعد کی زندگی کے بارے میں کچھ بتاؤں گا۔
ڈیٹا بیس سیکیورٹی آڈٹ کے دوران، اکثر ایسا ہوتا ہے کہ آپ سرورز کو دریافت کرتے ہیں (، میں نے ایک بلاگ میں لکھا تھا) ان منصوبوں سے تعلق رکھتے ہیں جو طویل عرصے سے (یا بہت پہلے نہیں) ہماری دنیا کو چھوڑ چکے ہیں۔ اس طرح کے منصوبے بھی زندگی (کام) کی نقل کرتے رہتے ہیں، زومبی سے مشابہت رکھتے ہیں (مرنے کے بعد صارفین کا ذاتی ڈیٹا اکٹھا کرتے ہیں)۔
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.آئیے ایک پراجیکٹ کے ساتھ شروع کریں جس کا نام "Putin's Team" (putinteam.ru) ہے۔
19.04.2019/XNUMX/XNUMX کو کھلا MongoDB والا سرور دریافت ہوا۔
جیسا کہ آپ دیکھ سکتے ہیں، ransomware اس اڈے تک پہنچنے والا پہلا تھا:
ڈیٹا بیس میں خاص طور پر قیمتی ذاتی ڈیٹا نہیں ہے، لیکن ای میل ایڈریس (1000 سے کم)، پہلے نام/کنیت، ہیشڈ پاس ورڈ، GPS کوآرڈینیٹ (بظاہر اسمارٹ فونز سے رجسٹر ہوتے وقت)، رہائش کے شہر اور سائٹ کے صارفین کی تصاویر ہیں جنہوں نے تخلیق کی ہے۔ اس پر ان کا ذاتی اکاؤنٹ۔
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}اتنے سارے ردی کی ٹوکری معلومات اور خالی ریکارڈ۔ مثال کے طور پر، نیوز لیٹر سبسکرپشن کوڈ چیک نہیں کرتا ہے کہ ای میل ایڈریس درج کیا گیا ہے، اس لیے ایڈریس کے بجائے، آپ جو چاہیں لکھ سکتے ہیں۔
ویب سائٹ پر کاپی رائٹ کے مطابق، اس منصوبے کو 2018 میں ترک کر دیا گیا تھا۔ منصوبے کے نمائندوں سے رابطہ کرنے کی تمام کوششیں ناکام رہیں۔ تاہم، سائٹ پر نایاب رجسٹریشن موجود ہیں - زندگی کی نقل ہے.
آج میرے تجزیے میں دوسرا زومبی پروجیکٹ لیٹوین اسٹارٹ اپ "رومر" (roamerapp.com/ru) ہے۔
21.04.2019 اپریل XNUMX کو، جرمنی میں ایک سرور پر موبائل ایپلیکیشن "رومر" کا ایک کھلا MongoDB ڈیٹا بیس دریافت ہوا۔
ڈیٹا بیس، جس کا سائز 207 MB ہے، 24.11.2018 نومبر XNUMX سے عوامی طور پر دستیاب ہے (شوڈن کے مطابق)!
تمام بیرونی علامات (تکنیکی معاونت کا ای میل ایڈریس کام نہ کرنا، گوگل پلے اسٹور کے ٹوٹے ہوئے لنکس، 2016 سے ویب سائٹ پر کاپی رائٹ وغیرہ) کی وجہ سے ایپلیکیشن کو طویل عرصے سے ترک کر دیا گیا ہے۔
ایک وقت میں، تقریبا تمام موضوعاتی میڈیا نے اس آغاز کے بارے میں لکھا:
- VC: "لیٹوین اسٹارٹ اپ رومر ایک رومنگ قاتل ہے۔»
- گاؤں: "Roamer: ایک ایسی ایپلی کیشن جو بیرون ملک سے کالوں کی لاگت کو کم کرتی ہے۔»
- لائف ہیکر:"رومنگ کے دوران مواصلاتی اخراجات کو 10 گنا کم کرنے کا طریقہ: رومر»
ایسا لگتا ہے کہ "قاتل" نے خود کو مار لیا ہے، لیکن مرنے کے بعد بھی وہ اپنے صارفین کے ذاتی ڈیٹا کو ظاہر کرتا رہتا ہے...
ڈیٹا بیس میں موجود معلومات کے تجزیے کو دیکھتے ہوئے، بہت سے صارفین اس موبائل ایپلی کیشن کو استعمال کرتے رہتے ہیں۔ مشاہدے کے چند گھنٹوں کے اندر 94 نئے اندراجات سامنے آئے۔ اور 27.03.2019 مارچ 10.04.2019 سے 66 اپریل XNUMX تک کی مدت کے لیے XNUMX نئے صارفین نے درخواست میں اندراج کیا۔
درخواست کے لاگز (100 ہزار سے زیادہ ریکارڈ) معلومات کے ساتھ جیسے:
- صارف کا فون
- کال کی تاریخ تک ٹوکن تک رسائی حاصل کریں (لنک کے ذریعے دستیاب ہے جیسے: api3.roamerapp.com/call/history/1553XXXXXX)
- کال کی تاریخ (نمبر، آنے والی یا جانے والی کال، کال کی قیمت، مدت، کال کا وقت)
- صارف کا موبائل آپریٹر
- صارف کے IP پتے
- صارف کے فون کا ماڈل اور اس پر موبائل OS ورژن (مثال کے طور پر، آئی فون 7 12.1.4)
- صارف کا ای میل پتہ
- صارف کے اکاؤنٹ کا بیلنس اور کرنسی
- صارف ملک
- صارف کا موجودہ مقام (ملک)
- پروموشنل کوڈز
- اور بہت کچھ.
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}یقیناً اڈے کے مالکان سے رابطہ ممکن نہیں تھا۔ سائٹ پر رابطے کام نہیں کرتے، سوشل میڈیا پر پیغامات۔ نیٹ ورکس پر کوئی بھی ردعمل ظاہر نہیں کرتا۔
ایپ اب بھی Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973) پر دستیاب ہے۔
معلومات لیک ہونے اور اندرونی معلومات کے بارے میں خبریں ہمیشہ میرے ٹیلیگرام چینل پر مل سکتی ہیں۔" .
ماخذ: www.habr.com