我再次談論個人資料洩露,但這次我將使用最近發現的兩個例子來告訴您一些有關 IT 專案的來世的信息。
在資料庫安全審計過程中,經常會發現伺服器(,我在部落格中寫道)屬於早已(或不久前)離開我們世界的項目。這類項目甚至不斷模仿生活(工作),像殭屍一樣(在用戶死後收集其個人資料)。
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.讓我們從一個名字響亮的專案「普丁團隊」(putinteam.ru)開始。
19.04.2019 年 XNUMX 月 XNUMX 日發現了一台開放 MongoDB 的伺服器。
正如您所看到的,勒索軟體是第一個到達此基地的:
該資料庫不包含特別有價值的個人數據,但包含電子郵件地址(少於1000 個)、姓名/姓氏、散列密碼、GPS 座標(顯然是透過智慧型手機註冊時)、居住城市以及創建網站的用戶的照片。他們的個人帳戶。
{
"_id" : ObjectId("5c99c5d08000ec500c21d7e1"),
"role" : "USER",
"avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg",
"firstName" : "Вадим",
"lastName" : "",
"city" : "Санкт-Петербург",
"about" : "",
"mapMessage" : "",
"isMapMessageVerify" : "0",
"pushIds" : [
],
"username" : "5c99c5d08000ec500c21d7e1",
"__v" : NumberInt(0),
"coordinates" : {
"lng" : 30.315868,
"lat" : 59.939095
}
}
{
"_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"),
"type" : "BASE",
"email" : "***@yandex.ru",
"password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426",
"user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"),
"__v" : NumberInt(0)
}很多 垃圾 資訊和空記錄。例如,時事通訊訂閱代碼不會檢查是否輸入了電子郵件地址,因此您可以寫任何您想要的內容,而不是地址。
從網站上的版權資訊來看,該項目已於2018年被放棄。所有聯繫計畫代表的嘗試均未成功。然而,網站上的註冊很少——存在模仿生活。
我今天分析的第二個殭屍專案是拉脫維亞新創公司「Roamer」(roamerapp.com/ru)。
21.04.2019年XNUMX月XNUMX日,在德國的伺服器上發現了行動應用程式「Roamer」的開放MongoDB資料庫。
該資料庫大小為 207 MB,自 24.11.2018 年 XNUMX 月 XNUMX 日起已公開可用(根據 Shodan 的說法)!
從所有外部跡象來看(無效的技術支援電子郵件地址、Google Play 商店的連結已損壞、2016 年網站上的版權等),該應用程式已被放棄很長時間了。
一時間,幾乎所有專題媒體都對這家新創公司進行了報導:
- VC:「拉脫維亞新創公司 Roamer 是漫遊殺手»
- 村莊:“Roamer:降低國外通話費用的應用程式»
- 生活駭客:「如何在漫遊時降低10倍通訊費用:Roamer»
「殺手」似乎自殺了,但即使死了,他仍然繼續洩露用戶的個人資料…
從資料庫中的資訊分析來看,許多用戶仍在繼續使用該行動應用程式。觀察幾個小時內,出現了 94 個新條目。 27.03.2019年10.04.2019月66日至XNUMX年XNUMX月XNUMX日期間,該應用程式註冊了XNUMX名新用戶。
應用程式的日誌(超過 100 萬筆記錄),其中包含以下資訊:
- 用戶電話
- 存取令牌以調用歷史記錄(可透過以下連結取得: api3.roamerapp.com/call/history/1553XXXXXX)
- 通話記錄(號碼、撥入或撥出電話、通話費用、時間、通話時間)
- 用戶的行動電信商
- 用戶IP位址
- 使用者的手機型號和行動作業系統版本(例如, iPhone 7 12.1.4)
- 使用者電子郵件地址
- 用戶帳戶餘額和幣種
- 使用者國家
- 使用者的當前位置(國家)
- 促銷代碼
- 等等。
{
"_id" : ObjectId("5c9a49b2a1f7da01398b4569"),
"url" : "api3.roamerapp.com/call/history/*******5049",
"ip" : "67.80.1.6",
"method" : NumberLong(1),
"response" : {
"calls" : [
{
"start_time" : NumberLong(1553615276),
"number" : "7495*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869601)
},
{
"start_time" : NumberLong(1553615172),
"number" : "7499*******",
"accepted" : true,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(63),
"cost" : 0.03,
"call_id" : NumberLong(18869600)
},
{
"start_time" : NumberLong(1553615050),
"number" : "7985*******",
"accepted" : false,
"incoming" : false,
"internet" : true,
"duration" : NumberLong(0),
"cost" : 0.0,
"call_id" : NumberLong(18869599)
}
]
},
"response_code" : NumberLong(200),
"post" : [
],
"headers" : {
"Host" : "api3.roamerapp.com",
"X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e",
"Accept" : "application/json",
"X-Sim-Operator" : "311480",
"X-Wsse" : "UsernameToken Username="/******S19a2RzV9cqY7b/RXPA=", PasswordDigest="******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=", Nonce="******c1MzE1NTM2MTUyODIuNDk2NDEz", Created="Tue, 26 Mar 2019 15:48:01 GMT"",
"Accept-Encoding" : "gzip, deflate",
"Accept-Language" : "en-us",
"Content-Type" : "application/json",
"X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC",
"User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4",
"Connection" : "keep-alive",
"X-App-Build" : "511",
"X-Lang" : "EN",
"X-Connection" : "WiFi"
},
"created_at" : ISODate("2019-03-26T15:48:02.583+0000"),
"user_id" : "888689"
}當然,無法聯繫到基地的主人。網站上的聯絡方式不起作用,社交媒體上的消息也不起作用。沒有人對網路做出反應。
該應用程式仍然可以在Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973) 上找到。
關於信息洩露和內部人士的消息總是可以在我的 Telegram 頻道上找到“»: .
來源: www.habr.com