Ich spreche wieder von der Weitergabe personenbezogener Daten, aber dieses Mal erzähle ich Ihnen anhand von zwei kürzlich gefundenen Ergebnissen ein wenig über das Leben nach dem Tod von IT-Projekten.
Bei der Prüfung der Datenbanksicherheit kommt es häufig vor, dass Sie Server entdecken ( wie man nach Datenbanken sucht , schrieb ich in einem Blog), die zu Projekten gehören, die unsere Welt längst (oder vor nicht allzu langer Zeit) verlassen haben. Solche Projekte ahmen sogar weiterhin das Leben (Werk) nach und ähneln Zombies (Sammeln persönlicher Daten von Benutzern nach ihrem Tod).
: . . , .
Beginnen wir mit dem Projekt mit dem lauten Namen „Putin Team“ (putinteam.ru).
Ein Server mit offener MongoDB wurde am 19.04.2019 entdeckt.
Wie Sie sehen können, war die Ransomware die erste, die diese Basis erreichte:
Die Datenbank enthält keine besonders wertvollen persönlichen Daten, aber es gibt E-Mail-Adressen (weniger als 1000), Vor- / Nachnamen, Hash-Passwörter, GPS-Koordinaten (anscheinend bei der Registrierung von Smartphones), Wohnorte und Fotos von Benutzern der Website, die ihr persönliches Konto darauf erstellt haben.
{ "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), "role" : "USER", "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", "firstName" : "", "lastName" : "", "city" : "-", "about" : "", "mapMessage" : "", "isMapMessageVerify" : "0", "pushIds" : [ ], "username" : "5c99c5d08000ec500c21d7e1", "__v" : NumberInt(0), "coordinates" : { "lng" : 30.315868, "lat" : 59.939095 } } { "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), "type" : "BASE", "email" : "***@yandex.ru", "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), "__v" : NumberInt(0) }
Viele Müllinformationen und leere Aufzeichnungen. Beispielsweise überprüft der Newsletter-Abonnementcode nicht, ob die E-Mail-Adresse eingegeben wurde, sodass Sie anstelle der Adresse alles schreiben können, was Sie möchten.
Nach dem Urheberrecht auf der Website zu urteilen, wurde das Projekt im Jahr 2018 eingestellt. Alle Versuche, das Projekt zu kontaktieren, waren erfolglos. Es gibt jedoch seltene Registrierungen auf der Website - es gibt eine Nachahmung des Lebens.
Das zweite Zombie-Projekt in meiner heutigen Analyse ist das lettische Startup Roamer (roamerapp.com/ru).
21.04.2019 Auf einem Server in Deutschland wurde eine offene MongoDB-Datenbank der mobilen Roamer-Anwendung entdeckt.
Die Basis mit einer Größe von 207 MB ist ab dem 24.11.2008 gemeinfrei (laut Shodan)!
Durch alle externen Anzeichen (eine nicht funktionierende E-Mail-Adresse des technischen Supports, fehlerhafte Links zum Google Play Store, Urheberrecht auf der Website von 2016 usw.) wurde die Anwendung längst aufgegeben.
Zu einer Zeit haben fast alle thematischen Medien über dieses Startup geschrieben:
- VC: " Lettisches Startup Roamer - Roaming Killer "
- the-village: " Roamer: Eine Anwendung, die die Kosten für Anrufe aus dem Ausland reduziert "
- Lifehacker: „ So reduzieren Sie die Kommunikationskosten beim Roaming um das Zehnfache: Roamer “
Der "Mörder" scheint sich selbst getötet zu haben, gibt aber weiterhin die toten persönlichen Daten seiner Benutzer preis ...
Nach der Analyse der Informationen in der Datenbank zu urteilen, verwenden viele Benutzer diese mobile Anwendung weiterhin. Innerhalb weniger Stunden nach der Beobachtung erschienen 94 neue Einträge. Und für den Zeitraum vom 27.03.2019 bis zum 10.04.2019 haben sich 66 neue Benutzer in der Anwendung registriert.
Im öffentlichen Bereich befinden sich Protokolle (mehr als 100.000 Einträge) der Anwendung mit folgenden Informationen:
- Benutzertelefon
- Token für den Zugriff auf die Anrufliste (verfügbar über Links des Formulars: api3.roamerapp.com/call/history/1553XXXXXX )
- Anrufliste (Nummern, eingehender oder ausgehender Anruf, Anrufkosten, Dauer, Anrufzeit)
- Mobilfunkbetreiber
- Benutzer-IPs
- Telefonmodell des Benutzers und Version des mobilen Betriebssystems (z. B. iPhone 7 12.1.4 )
- Benutzer-E-Mail-Adresse
- Benutzerkontostand und Währung
- Benutzerland
- aktueller Standort (Land) des Benutzers
- Aktionscodes
- und vieles mehr.
{ "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" } Benutzername = \" / ****** S19a2RzV9cqY7b / RXPA = \ "PasswordDigest = \" ****** NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI = \ "Nonce = \" ***** { "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
Natürlich war es nicht möglich, die Eigentümer der Basis zu kontaktieren. Kontakte auf der Website funktionieren nicht, bei Nachrichten im sozialen Bereich. Netzwerke, auf die niemand reagiert.
Die App ist weiterhin im Apple App Store erhältlich (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Nachrichten über Informationslecks und Insider finden Sie immer auf meinem Telegrammkanal " Informationslecks ": https://t.me/dataleak .