Вопрос ИБ на примере уязвимости Pootin'a

... и поэтому я их "хакнул" чтобы показать две основные проблемы, обсуждение которых я еще не встречал на просторах казнета. Кто не в курсе о "нашумевшем аналоге заблокированного в Казахстане приложения GetContact", погуглите чтобы понять о чем сейчас пойдет речь.

Перед началом самого поста, обратите внимание на демонстрационное видео снизу, где за 20 секунд было скачано 18312 имен по 2182 номерам среди 3000 "красивых" номеров вида +7(701/777/705/)AAA-BB-CC и случайно узнал номер всеми любимого нами Геннадия Геннадиевича Головкина a.k.a GGG:

На момент написания этого поста было уже свыше 97 миллионов телефонных номеров в базе Pootin.io. Хоть это число меньше чем у его оригинального аналога GetContact.com - 2.9 миллиарда, на разработчиков ложится серьезная ответственность.

Для начала поговорим немного об угрозах и рисках данного приложения. Благодаря беспечным пользователям, у Pootin'a сейчас огромная база телефонных номеров, которые в случае утечки данных могут быть использованы злоумышленниками в различных сферах нашей с вами жизни.Приведу пару примеров того, что можно сделать обладая такой базой.

Я слышал истории, когда из тюрьм звонили людям с различными видами угроз по отношению к детям и внукам с целью выкупа. Теперь благодаря Pootin'у, за 20 секунд я скачал у них чуть меньше двадцати тысяч записей со своего персонального ноутбука. Среди этих номеров, были несколько контактов в виде "Айдос мамасы", "бабушка Дашы", и т.д. А теперь представьте как бы это облегчило задачу для подобных обзвонов.

За базы телефонных номеров компании платят огромные деньги, чтобы собрать свою базу клиентов. Помимо мошенников и скамеров, продажники пропихивают свой товар постоянно названивая своим потенциальным клиентам. Например, прошлым летом я допустил ошибку, когда разместил свой сотовый номер при регистрации домена. В результате начали поступать назойливые звонки по интернет-маркетингу якобы от "Google", бизнес-продвижению и т.д.

Это всего-лишь пара примеров. Главное понять, что ваши номера и другие конфиденциальные данные не должны передаваться неавторизованным лицам.

По сравнению с обычной базой телефонных номеров Pootin может чуть больше, а благодаря его уязвимостям, можно было получать данные по номерам в автоматическом режиме. Через свой ноутбук это примерно 150 номеров в секунду (дальше не заходил чтобы не напрягать их сервер). Но при реальном желании скачать как можно больше данных, несложно ускорить и оптимизировать процесс.

Также была получена возможность скрывать номера из базы Pootin'a в автоматическом режиме. И вместо того, чтобы платить деньги за удаление номеров из базы, можно просто запустить несложный скрипт. Данная уязвимость, скорее всего несет вред только самой команде разработчиков, так как они теряют деньги и потенциал. Еще есть схожая уязвимость, но уже при добавлении номеров в базу. Что делать с такой возможностью, дело вашей фантазии (или просто подставляйте своих знакомых ложными именами типа "Снежана", "Тима трава", и т.д.).

Данный пост был написан с двумя побуждениями:

1. Чтобы казахстанские разработчики слушали дядю Бена:

Не только с моральной точки зрения, но и потому что сейчас информационная безопасть находится в приоритете, а в лидирующих странах за такие проколы просто сожрут.

2. Нужно начинать дискуссии по информационной безопасности среди народа. Также как детям говорят не общаться с незнакомцами на улице, важно обучать базовым знаниям кибербезопасности. Не стоит доверять свою и чужую конфиденциальную информацию всем подряд. Однако, думаю именно подобные проколы дают толчок в нужном направлении (почему-то общество любит решать проблемы, а не предотвращать).

В заключение скажу, что я не буду расписывать здесь детали того, каким образом был получен доступ к базе Pootin'a. Главное знать, что человек, не специализирующися на кибер атаках, получил возможность проводить вредоносные действия благодоря неосведомленным пользователям и проколу разработчиков. Возможно профессиональные хакеры уже получили все 97 млн номеров и планируют свои атаки (надеюсь нет).

ПО ДАННОЙ УЯЗВИМОСТИ УЖЕ состоялся диалог С РАЗРАБОТЧИКАМИ. ВСЕ СКАЧАННЫЕ МНОЙ ДАННЫЕ УДАЛЕНЫ, А УЯЗВИМОСТЬ УСТРАНЕНА СО СТОРОНЫ КОМАНДЫ POOTIN.IO. А ЕСЛИ ВАМ ИНТЕРЕСНО, ТО НА habrahabr.ru Я СКОРО ОПУБЛИКУЮ ПОСТ О ТОМ, КАКАЯ ИМЕННО была УЯЗВИМОСТЬ У POOTIN'A С ТЕХНИЧЕСКОЙ стороны. ЧТО КАСАЕТСЯ ОРИГИНАЛЬНОГО GETCONTACT.COM, ТО ПОЛУЧИТЬ ПОДОБНЫЙ ДОСТУП МНЕ НЕ УДАЛОСЬ.

P.s. когда Pootin запрашивает разрешение на доступ к вашим контактам, откажите и продолжайте пользоваться.