为沙特和其他阿拉伯用户提供类似Truecaller的来电显示服务的Android应用Dalil已经泄漏用户数据一周了,原因是MongoDB数据库在没有密码的情况下可以在线访问。
安全研究人员Run Locar和Noam Rotem发现,该数据库包含了该应用程序的全部数据,从用户的个人信息到活动日志。
ZDNet审查的样本中包含的详细信息显示,数据库中包含以下信息:
数据库中包含的大部分数据都属于沙特用户–基于与每个条目相关的代码。埃及人、阿联酋人、欧洲人,甚至一些以色列/巴勒斯坦人的数据也包括在内,但程度较小。
用户数据的广泛性和敏感性可以让威胁行为者在应用程序的用户上创建准确的配置文件。允许应用程序访问位置数据的用户也有被跟踪的危险。
GPS坐标–在可用的情况下–将允许威胁者实时跟踪用户的位置。威胁参与者所需要做的就是打个电话到用户的电话号码,监视暴露的数据库以获得一个新的日志条目,并在特定的时间提取用户的GPS位置。
DalilMongoDB服务器也非常简单,可以使用现成的工具在线查找。ZDNet能够根据我们从Locar收到的一个简单提示独立地定位数据库。
在编写时,数据库仍在暴露大约585.7GB的信息。Locar说,每天都会添加新的记录,这意味着它是应用程序的生产服务器,而不是放弃的测试系统或冗余备份。
根据Dalil的Play Store页面,该应用程序已被500多万用户下载。然而,数据库并不能绝对地保存所有以前用户的信息。
Locar说,在某个时刻,威胁行为者也访问了数据库,加密了一些数据,并留下了一份赎金通知,但Dalil的IT团队甚至没有注意到这一漏洞,并继续将新的用户数据和应用程序日志保存在明显受损的数据库的顶部。
这位研究人员告诉ZDNet,仅在上个月,就有大约20.8万个新的电话号码和4400万个应用程序事件–注册、登录、进出电话–已经注册,数据仍在不断增加。
Locar告诉我们,2月26日,当他第一次注意到暴露的数据库时,他联系了Dalil的团队。在编写本报告时,尽管曾多次试图与供应商联系,但数据库仍然完全开放。Dalil的团队也没有回复ZDNet的置评请求。