沙特来电显示应用程序在不安全的MongoDB服务器上留下了500多万用户的数据
为沙特阿拉伯和其他阿拉伯用户提供类似Truecaller的来电显示服务的安卓应用Dalil已经泄露用户数据一周,因为MongoDB数据库无需密码即可在线访问。
安全研究人员Run Locar和Noam Rotem发现,该数据库包含了应用程序的所有数据,从用户的个人信息到活动日志。
ZDNet审查的样本中包含的详细信息显示,数据库包含以下信息:
根据与每个条目相关的代码,数据库中包含的大部分数据属于沙特用户。埃及、阿联酋、欧洲甚至一些以色列/巴勒斯坦的数据都包括在内,但程度较低。
用户的普遍性和敏感性可以使威胁行为者创建关于应用程序用户的准确配置文件。允许应用程序访问位置数据的用户也有被跟踪的风险。
全球定位系统坐标(如果可用)将允许威胁实时跟踪用户的位置。威胁参与者需要做的就是拨打用户的电话号码,监控暴露的数据库以获取新的日志条目,并提取用户在特定时间的GPS位置。
DalilMongoDB服务器也很简单,可以用现成的工具在网上找到。ZDNet可以根据我们从Locar收到的简单提示独立定位数据库。
在撰写本文时,数据库仍然暴露了大约585.7GB的信息。Locar表示,每天都有新的记录添加,这意味着它是应用程序的生产服务器,而不是废弃的测试系统或冗余备份。
根据Dalil的Play Store页面显示,该应用已被超过500万用户下载。然而,数据库不能绝对存储以前用户的所有信息。
Locar表示,在某个时刻,威胁行为人还访问了数据库,加密了一些数据,并留下了赎金通知,但Dalil的IT团队甚至没有注意到这个漏洞,继续在明显受损的数据库上保存新的用户数据和应用程序日志。
该研究员告诉ZDNet,仅上个月,就有约20.8万个新电话号码和4400万个应用事件注册——个,登录、呼入和呼出注册——个,数据还在不断增加。
Locar告诉我们,2月26日,当他第一次注意到暴露的数据库时,他联系了Dalil的团队。在撰写本报告时,尽管多次尝试联系供应商,数据库仍然完全开放。Dalil的团队没有回应ZDNet的置评请求。