我再次谈论个人数据泄露,但这次我将使用最近发现的两个例子来告诉您一些有关 IT 项目的来世的信息。
在数据库安全审计过程中,经常会发现服务器(,我在博客中写道)属于早已(或不久前)离开我们世界的项目。 此类项目甚至不断模仿生活(工作),像僵尸一样(在用户死后收集其个人数据)。
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.让我们从一个名字响亮的项目“普京团队”(putinteam.ru)开始。
19.04.2019 年 XNUMX 月 XNUMX 日发现了一台开放 MongoDB 的服务器。
正如您所看到的,勒索软件是第一个到达此基地的:
该数据库不包含特别有价值的个人数据,但包含电子邮件地址(少于 1000 个)、名字/姓氏、散列密码、GPS 坐标(显然是从智能手机注册时)、居住城市以及创建网站的用户的照片。他们的个人帐户。
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}非常 垃圾 信息和空记录。 例如,时事通讯订阅代码不会检查是否输入了电子邮件地址,因此您可以写任何您想要的内容,而不是地址。
从网站上的版权信息来看,该项目已于2018年被放弃。 所有联系项目代表的尝试均未成功。 然而,网站上的注册很少——存在模仿生活。
我今天分析的第二个僵尸项目是拉脱维亚初创公司“Roamer”(roamerapp.com/ru)。
21.04.2019年XNUMX月XNUMX日,在德国的服务器上发现了移动应用程序“Roamer”的开放MongoDB数据库。
该数据库大小为 207 MB,自 24.11.2018 年 XNUMX 月 XNUMX 日起已公开可用(根据 Shodan 的说法)!
从所有外部迹象来看(无效的技术支持电子邮件地址、Google Play 商店的链接已损坏、2016 年网站上的版权等),该应用程序已被放弃很长时间了。
一时间,几乎所有专题媒体都对这家初创公司进行了报道:
- VC:“拉脱维亚初创公司 Roamer 是漫游杀手»
- 村庄:“Roamer:降低国外通话费用的应用程序»
- 生活黑客:“如何在漫游时降低10倍通信费用:Roamer»
“杀手”似乎自杀了,但即使死了,他仍然继续泄露用户的个人数据……
从数据库中的信息分析来看,许多用户仍在继续使用该移动应用程序。 观察几个小时内,出现了 94 个新条目。 27.03.2019年10.04.2019月66日至XNUMX年XNUMX月XNUMX日期间,该应用程序注册了XNUMX名新用户。
应用程序的日志(超过 100 万条记录),其中包含以下信息:
- 用户电话
- 访问令牌以调用历史记录(可通过以下链接获得: api3.roamerapp.com/call/history/1553XXXXXX)
- 通话记录(号码、拨入或拨出电话、通话费用、时长、通话时间)
- 用户的移动运营商
- 用户IP地址
- 用户的手机型号和移动操作系统版本(例如, iPhone 7 12.1.4)
- 用户电子邮件地址
- 用户账户余额和币种
- 用户国家
- 用户的当前位置(国家)
- 促销代码
- 等等。
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}当然,无法联系到基地的主人。 网站上的联系方式不起作用,社交媒体上的消息也不起作用。 没有人对网络做出反应。
该应用程序仍然可以在 Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973) 上找到。
关于信息泄露和内部人士的消息总是可以在我的 Telegram 频道上找到“»: .
来源: habr.com