Estou falando sobre vazamento de dados pessoais novamente, mas desta vez vou falar um pouco sobre a vida após a morte de projetos de TI usando duas descobertas recentes.
No processo de auditoria da segurança do banco de dados, acontece frequentemente que você descobre servidores ( como pesquisar bancos de dados , escrevi em um blog) que pertencem a projetos que há muito (ou não muito tempo atrás) deixaram nosso mundo. Tais projetos ainda continuam imitando a vida (trabalho), parecendo zumbis (coletando dados pessoais dos usuários após a morte).
: . . , .
Vamos começar com o projeto com o nome alto "Putin Team" (putinteam.ru).
Um servidor com MongoDB aberto foi descoberto em 19/04/2019.
Como você pode ver, o ransomware foi o primeiro a chegar a essa base:
O banco de dados não possui dados pessoais particularmente valiosos, mas existem endereços de e-mail (menos de 1000), nomes / sobrenomes, senhas com hash, coordenadas GPS (aparentemente ao se registrar em smartphones), cidades de residência e fotos dos usuários do site que criaram suas contas pessoais nele.
{ "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), "role" : "USER", "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", "firstName" : "", "lastName" : "", "city" : "-", "about" : "", "mapMessage" : "", "isMapMessageVerify" : "0", "pushIds" : [ ], "username" : "5c99c5d08000ec500c21d7e1", "__v" : NumberInt(0), "coordinates" : { "lng" : 30.315868, "lat" : 59.939095 } } { "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), "type" : "BASE", "email" : "***@yandex.ru", "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), "__v" : NumberInt(0) }
Muita informação de lixo e registros vazios. Por exemplo, o código de assinatura do boletim informativo não verifica se o endereço de e-mail foi inserido; portanto, em vez do endereço, você pode escrever o que quiser.
A julgar pelos direitos autorais do site, o projeto foi abandonado em 2018. Todas as tentativas de contato com o projeto foram malsucedidas. No entanto, existem registros raros no site - existe uma imitação da vida.
O segundo projeto zumbi em minha análise hoje é a startup letã Roamer (roamerapp.com/ru).
21/04/2019: um banco de dados MongoDB aberto do aplicativo móvel Roamer foi descoberto em um servidor na Alemanha.
A base, do tamanho de 207 MB, está em domínio público a partir de 24/11/2018 (de acordo com Shodan)!
Por todos os sinais externos (um endereço de e-mail não útil do suporte técnico, links quebrados para a loja Google Play, direitos autorais no site de 2016 etc.) - o aplicativo foi abandonado há muito tempo.
Ao mesmo tempo, quase todas as mídias temáticas escreveram sobre essa startup:
- VC: “ startup letã Roamer - roaming killer ”
- the-village: “ Roamer: um aplicativo que reduz o custo de chamadas do exterior ”
- lifehacker: " Como reduzir os custos de comunicação em roaming em 10 vezes: Roamer "
O "assassino" parece ter se matado, mas continua a divulgar os dados pessoais mortos de seus usuários ...
A julgar pela análise das informações no banco de dados, muitos usuários continuam usando esse aplicativo móvel. Após algumas horas de observação, 94 novas entradas apareceram. E para o período de 27/03/2019 a 10/04/2019, 66 novos usuários registrados no aplicativo.
No domínio público, existem logs (mais de 100 mil entradas) do aplicativo com informações como:
- telefone do usuário
- tokens de acesso ao histórico de chamadas (disponível nos links do formulário: api3.roamerapp.com/call/history/1553XXXXXX )
- histórico de chamadas (números, chamadas recebidas ou efetuadas, custo, duração, tempo de chamada)
- operadora de celular
- IPs do usuário
- modelo de telefone do usuário e versão do sistema operacional móvel (por exemplo, iPhone 7 12.1.4 )
- endereço de email do usuário
- saldo e moeda da conta do usuário
- país usuário
- localização atual (país) do usuário
- códigos promocionais
- e muito mais
{ "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" } nome de usuário = \" / ****** S19a2RzV9cqY7b / RXPA = \ "PasswordDigest = \" ****** NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI = \ "Nonce = \" ***** { "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
Obviamente, não foi possível entrar em contato com os proprietários da base. Contatos no site não funcionam, em mensagens no social. redes ninguém reage.
O aplicativo ainda está disponível na Apple App Store (itunes.apple.com/app/roamer-roaming-killer/id646368973).
Notícias sobre vazamentos de informações e informações privilegiadas sempre podem ser encontradas no meu canal do Telegram " Vazamentos de informações ": https://t.me/dataleak .