Estoy hablando de la fuga de datos personales nuevamente, pero esta vez le contaré un poco sobre la vida futura de los proyectos de TI utilizando dos hallazgos recientes.
En el proceso de auditar la seguridad de la base de datos, a menudo sucede que descubres servidores ( cómo buscar bases de datos , escribí en un blog) que pertenecen a proyectos que han dejado (o no hace mucho) nuestro mundo. Tales proyectos incluso continúan imitando la vida (trabajo), pareciéndose a zombies (recolectando datos personales de los usuarios después de su muerte).
: . . , .
Comencemos con el proyecto con el fuerte nombre "Equipo de Putin" (putinteam.ru).
Se descubrió un servidor con MongoDB abierto el 19/04/2019.
Como puede ver, el ransomware fue el primero en llegar a esta base:
La base de datos no tiene datos personales particularmente valiosos, pero hay direcciones de correo electrónico (menos de 1000), nombres, contraseñas hash, coordenadas GPS (aparentemente cuando se registra con teléfonos inteligentes), ciudades de residencia y fotos de usuarios del sitio que crearon su cuenta personal en él.
{ "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), "role" : "USER", "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", "firstName" : "", "lastName" : "", "city" : "-", "about" : "", "mapMessage" : "", "isMapMessageVerify" : "0", "pushIds" : [ ], "username" : "5c99c5d08000ec500c21d7e1", "__v" : NumberInt(0), "coordinates" : { "lng" : 30.315868, "lat" : 59.939095 } } { "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), "type" : "BASE", "email" : "***@yandex.ru", "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), "__v" : NumberInt(0) }
Mucha información basura y registros vacíos. Por ejemplo, un código de suscripción al boletín no verifica que se ingrese una dirección de correo electrónico, por lo que en lugar de una dirección, puede escribir lo que desee.
A juzgar por los derechos de autor en el sitio, el proyecto fue abandonado en 2018. Todos los intentos de contactar al proyecto no tuvieron éxito. Sin embargo, los registros raros en el sitio están activados, hay una imitación de la vida.
El segundo proyecto zombie en mi análisis de hoy es la startup letona Roamer (roamerapp.com/ru).
21/04/2019 se descubrió una base de datos abierta MongoDB de la aplicación móvil Roamer en un servidor en Alemania.
¡La base, de 207 MB de tamaño, es de dominio público desde el 24/11/2018 (según Shodan)!
Según todos los signos externos (una dirección de correo electrónico de soporte técnico que no funciona, enlaces rotos a la tienda Google Play, derechos de autor en el sitio web de 2016, etc.), la aplicación ha sido abandonada durante mucho tiempo.
En un momento, casi todos los medios temáticos escribieron sobre esta startup:
- VC: " Letonia startup Roamer - roaming killer "
- the-village: " Roamer: una aplicación que reduce el costo de las llamadas desde el extranjero "
- lifehacker: " Cómo reducir los costos de comunicación en roaming en 10 veces: Roamer "
El "asesino" parece haberse suicidado, pero incluso continúa divulgando los datos personales muertos de sus usuarios ...
A juzgar por el análisis de la información en la base de datos, muchos usuarios continúan usando esta aplicación móvil. A las pocas horas de observación, aparecieron 94 nuevas entradas. Y para el período del 27/03/2019 al 10/04/2019, 66 nuevos usuarios se registraron en la aplicación.
En el dominio público hay registros (más de 100 mil entradas) de la aplicación con información como:
- teléfono de usuario
- tokens de acceso al historial de llamadas (disponible a través de enlaces del formulario: api3.roamerapp.com/call/history/1553XXXXXX )
- historial de llamadas (números, llamadas entrantes o salientes, costo de llamadas, duración, tiempo de llamadas)
- operador de telefonía móvil
- IP de usuario
- modelo de teléfono del usuario y versión del sistema operativo móvil (por ejemplo, iPhone 7 12.1.4 )
- dirección de correo electrónico del usuario
- saldo de cuenta de usuario y moneda
- país de usuario
- ubicación actual (país) del usuario
- códigos promocionales
- y mucho mas
{ "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" } nombre de usuario = \" / ****** S19a2RzV9cqY7b / RXPA = \ "PasswordDigest = \" ****** NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI = \ "nonce = \" ***** { "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
Por supuesto, no fue posible contactar a los propietarios de la base. Los contactos en el sitio no funcionan, en los mensajes en las redes sociales. redes nadie reacciona.
La aplicación aún está disponible en la tienda de aplicaciones de Apple (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Siempre se pueden encontrar noticias sobre filtraciones de información e información privilegiada en mi canal de Telegram " Fugas de información ": https://t.me/dataleak .