Saya berbicara tentang kebocoran data pribadi lagi, tetapi kali ini saya akan memberi tahu Anda sedikit tentang akhirat proyek TI menggunakan dua penemuan terbaru.
Dalam proses audit keamanan basis data, sering kali Anda menemukan server ( cara mencari basis data , saya menulis di blog) yang termasuk dalam proyek yang sudah lama (atau belum lama ini) meninggalkan dunia kita. Proyek-proyek semacam itu bahkan terus meniru kehidupan (pekerjaan), menyerupai zombie (mengumpulkan data pribadi pengguna setelah kematian mereka).
: . . , .
Mari kita mulai dengan proyek dengan nama keras "Tim Putin" (putinteam.ru).
Server dengan open MongoDB ditemukan pada 19/04/2019.
Seperti yang Anda lihat, ransomware adalah yang pertama sampai ke pangkalan ini:
Basis data tidak memiliki data pribadi yang sangat berharga, tetapi ada alamat email (kurang dari 1000), nama depan / belakang, kata sandi hash, koordinat GPS (tampaknya ketika mendaftar dari smartphone), kota tempat tinggal dan foto-foto pengguna situs yang membuat akun pribadi mereka di atasnya.
{ "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), "role" : "USER", "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", "firstName" : "", "lastName" : "", "city" : "-", "about" : "", "mapMessage" : "", "isMapMessageVerify" : "0", "pushIds" : [ ], "username" : "5c99c5d08000ec500c21d7e1", "__v" : NumberInt(0), "coordinates" : { "lng" : 30.315868, "lat" : 59.939095 } } { "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), "type" : "BASE", "email" : "***@yandex.ru", "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), "__v" : NumberInt(0) }
Banyak informasi sampah dan catatan kosong. Misalnya, kode berlangganan buletin tidak memverifikasi bahwa alamat email dimasukkan, jadi alih-alih alamatnya, Anda dapat menulis apa pun yang Anda inginkan.
Dilihat oleh hak cipta di situs, proyek itu ditinggalkan pada 2018. Semua upaya untuk menghubungi proyek tidak berhasil. Namun, pendaftaran langka di situs sedang aktif - ada tiruan kehidupan.
Proyek zombie kedua dalam analisis saya hari ini adalah startup Roamer Latvia (roamerapp.com/ru).
04/21/2019 database MongoDB terbuka dari aplikasi seluler Roamer ditemukan di server di Jerman.
Pangkalan, ukuran 207 MB, berada di domain publik mulai 11/24/2018 (menurut Shodan)!
Dengan semua tanda eksternal (alamat email dukungan teknis yang tidak berfungsi, tautan rusak ke Google Play store, hak cipta di situs web 2016, dll.) - aplikasi telah lama ditinggalkan.
Pada suatu waktu, hampir semua media tematik menulis tentang startup ini:
- VC: " Roamer startup Latvia - pembunuh jelajah "
- the-village: " Roamer: Aplikasi yang mengurangi biaya panggilan dari luar negeri "
- lifehacker: " Cara mengurangi biaya komunikasi dalam jelajah 10 kali: Roamer "
"Pembunuh" tampaknya telah bunuh diri, tetapi bahkan terus membocorkan data pribadi penggunanya yang sudah mati ...
Dilihat oleh analisis informasi dalam basis data, banyak pengguna terus menggunakan aplikasi seluler ini. Dalam beberapa jam pengamatan, 94 entri baru muncul. Dan untuk periode dari 03/27/2019 hingga 04/10/2019, 66 pengguna baru terdaftar dalam aplikasi.
Dalam domain publik adalah log (lebih dari 100 ribu entri) dari aplikasi dengan informasi seperti:
- telepon pengguna
- token akses ke riwayat panggilan (tersedia melalui tautan dalam formulir: api3.roamerapp.com/call/history/1553XXXXXX )
- riwayat panggilan (angka, panggilan masuk atau keluar, biaya panggilan, durasi, waktu panggilan)
- operator seluler
- IP pengguna
- model telepon pengguna dan versi OS seluler di atasnya (misalnya, iPhone 7 12.1.4 )
- alamat email pengguna
- saldo dan mata uang akun pengguna
- negara pengguna
- lokasi saat ini (negara) pengguna
- kode promosi
- dan masih banyak lagi.
{ "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" } Username = \" / ****** S19a2RzV9cqY7b / RXPA = \ "PasswordDigest = \" ****** NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI = \ "Nonce = \" ***** { "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
Tentu saja, tidak mungkin untuk menghubungi pemilik pangkalan. Kontak di situs tidak berfungsi, pada pesan di sosial. jaringan tidak ada yang bereaksi.
Aplikasi ini masih tersedia di Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Berita tentang kebocoran informasi dan orang dalam selalu dapat ditemukan di saluran Telegram saya " Kebocoran informasi ": https://t.me/dataleak .