再び個人データの漏洩について話しますが、今回は、最近の2つの発見を使用したITプロジェクトの死後の世界について少しお話しします。
データベースのセキュリティを監査する過程で、私たちの世界を長く離れた(またはそれほど昔ではない)プロジェクトに属するサーバー( データベースの検索方法 、ブログに書いた)を発見することがよくあります。 このようなプロジェクトは、ゾンビに似た生活(仕事)を模倣し続けています(死後のユーザーの個人データを収集する)。
: . . , .
「Putin Team」(putinteam.ru)という大声で名前を付けたプロジェクトから始めましょう。
オープンMongoDBを備えたサーバーが2019年4月19日に発見されました。
ご覧のとおり、ランサムウェアはこのベースに最初に到達したものです。
データベースには特に貴重な個人データはありませんが、電子メールアドレス(1000未満)、名、ハッシュ化されたパスワード、GPS座標(スマートフォンから登録する場合は明らかに)、居住都市、および個人アカウントを作成したサイトのユーザーの写真があります。
{ "_id" : ObjectId("5c99c5d08000ec500c21d7e1"), "role" : "USER", "avatar" : "https://fs.putinteam.ru/******sLnzZokZK75V45-1553581654386.jpeg", "firstName" : "", "lastName" : "", "city" : "-", "about" : "", "mapMessage" : "", "isMapMessageVerify" : "0", "pushIds" : [ ], "username" : "5c99c5d08000ec500c21d7e1", "__v" : NumberInt(0), "coordinates" : { "lng" : 30.315868, "lat" : 59.939095 } } { "_id" : ObjectId("5cb64b361f82ec4fdc7b7e9f"), "type" : "BASE", "email" : "***@yandex.ru", "password" : "c62e11464d1f5fbd54485f120ef1bd2206c2e426", "user" : ObjectId("5cb64b361f82ec4fdc7b7e9e"), "__v" : NumberInt(0) }
多くのゴミ情報と空のレコード。 たとえば、ニュースレターのサブスクリプションコードでは、電子メールアドレスが入力されていることを確認しないため、アドレスの代わりに、必要なものを書くことができます。
サイトの著作権から判断すると、このプロジェクトは2018年に中止されました。 プロジェクトの代表者に連絡する試みはすべて失敗しました。 ただし、サイト上でまれな登録が行われています-人生の模倣があります。
今日の分析での2番目のゾンビプロジェクトは、ラトビアのスタートアップRoamer(roamerapp.com/ru)です。
2019年4月21日、RoamerモバイルアプリケーションのオープンMongoDBデータベースがドイツのサーバーで発見されました。
ベース、207 MBのサイズは、2018年11月24日(Shodanによる)のパブリックドメインにあります!
すべての外部標識(非稼働のテクニカルサポートメールアドレス、Google Playストアへのリンクの破損、2016年のウェブサイトの著作権など)により、アプリケーションは長い間放棄されてきました。
かつて、ほぼすべての主題メディアがこのスタートアップについて書きました。
- VC:「 ラトビアのスタートアップRoamer-ローミングキラー 」
- the-village:“ Roamer:海外からの通話のコストを削減するアプリケーション ”
- lifehacker:「 ローミングの通信コストを10倍削減する方法:Roamer 」
「キラー」は自分自身を殺したようですが、ユーザーの死んだ個人データを漏らし続けています...
データベース内の情報の分析から判断すると、多くのユーザーが引き続きこのモバイルアプリケーションを使用しています。 数時間のうちに、94の新しいエントリが登場しました。 また、2019年3月27日から2019年4月10日までの間に、66人の新規ユーザーがアプリケーションに登録されました。
パブリックドメインには、次のような情報を含むアプリケーションのログ(10万を超えるエントリ)があります。
- ユーザーの電話
- 通話履歴へのアクセスのトークン( api3.roamerapp.com/call/history/1553XXXXXXの形式のリンクから入手可能)
- 通話履歴(番号、着信または発信通話、通話料金、通話時間、通話時間)
- 携帯電話会社
- ユーザーIPアドレス
- ユーザーの電話モデルとそのモバイルOSバージョン( iPhone 7 12.1.4など )
- ユーザーのメールアドレス
- ユーザーアカウントの残高と通貨
- ユーザーの国
- ユーザーの現在の場所(国)
- プロモーションコード
- などなど。
{ "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
ユーザ名= \" / ****** S19a2RzV9cqY7b / RXPA = \ "PasswordDigest = \" ****** NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI = \ "ナンス= \" ***** { "_id" : ObjectId("5c9a49b2a1f7da01398b4569"), "url" : "api3.roamerapp.com/call/history/*******5049", "ip" : "67.80.1.6", "method" : NumberLong(1), "response" : { "calls" : [ { "start_time" : NumberLong(1553615276), "number" : "7495*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869601) }, { "start_time" : NumberLong(1553615172), "number" : "7499*******", "accepted" : true, "incoming" : false, "internet" : true, "duration" : NumberLong(63), "cost" : 0.03, "call_id" : NumberLong(18869600) }, { "start_time" : NumberLong(1553615050), "number" : "7985*******", "accepted" : false, "incoming" : false, "internet" : true, "duration" : NumberLong(0), "cost" : 0.0, "call_id" : NumberLong(18869599) } ] }, "response_code" : NumberLong(200), "post" : [ ], "headers" : { "Host" : "api3.roamerapp.com", "X-App-Id" : "a9ee0beb8a2f6e6ef3ab77501e54fb7e", "Accept" : "application/json", "X-Sim-Operator" : "311480", "X-Wsse" : "UsernameToken Username=\"/******S19a2RzV9cqY7b/RXPA=\", PasswordDigest=\"******NTA4MDhkYzQ5YTVlZWI5NWJkODc5NjQyMzU2MjRjZmIzOWNjYzY3MzViMTY1ODY4NDBjMWRkYjdiZTQxOGI4ZDcwNWJmOThlMTA1N2ExZjI=\", Nonce=\"******c1MzE1NTM2MTUyODIuNDk2NDEz\", Created=\"Tue, 26 Mar 2019 15:48:01 GMT\"", "Accept-Encoding" : "gzip, deflate", "Accept-Language" : "en-us", "Content-Type" : "application/json", "X-Request-Id" : "FB103646-1B56-4030-BF3A-82A40E0828CC", "User-Agent" : "Roamer;iOS;511;en;iPhone 7;12.1.4", "Connection" : "keep-alive", "X-App-Build" : "511", "X-Lang" : "EN", "X-Connection" : "WiFi" }, "created_at" : ISODate("2019-03-26T15:48:02.583+0000"), "user_id" : "888689" }
もちろん、基地の所有者に連絡することはできませんでした。 サイト上の連絡先は、ソーシャル内のメッセージでは機能しません。 誰も反応しないネットワーク。
このアプリは、Apple App Store(itunes.apple.com/app/roamer-roaming-killer/id646368973)で引き続き利用できます。
情報漏えいやインサイダーに関するニュースは、私の電報チャンネル「 情報漏えい 」で常に見つけることができます : https : //t.me/dataleak 。