Cómo no configurar una contraseña condujo a la exposición de 5 millones de usuarios de Dalil

Dalil Exposes User Data

Aquí hay un enigma interesante: usted descubre que un desarrollador de aplicaciones móviles ha configurado mal una base de datos y está exponiendo los datos de millones y millones de personas a la red mundial. Intenta ponerse en contacto con el proveedor y les dice que aseguren la base de datos, pero no responden. ¿Qué haces?

Los investigadores de seguridad Ran Locar y Noam Rotem se enfrentaron con el mismo dilema recientemente. Al final, decidieron anunciar públicamente lo que habían encontrado y, para comprender sus motivos, primero debemos saber qué sucedió exactamente.

Los datos de más de 5 millones de oriente medio expuestos.

Ran Locar fue la persona que primero se topó con una instalación de MongoDB que se enfrentaba a Internet pero que no estaba protegida por una contraseña. Con la ayuda de Noam Rotem, descubrió que la base de datos pertenecía a Dalil, una aplicación de identificación de llamadas de Android dirigida principalmente al mercado del Medio Oriente. La idea detrás de Dalil es que incluso si alguien que está fuera de tus contactos te llama, sabrás quiénes son y podrás rechazar cualquier llamada potencialmente no deseada.

Por razones que no son particularmente claras, Dalil está recopilando una enorme cantidad de información sobre sus usuarios. De acuerdo con el hilo de Twitter con el que Ran Locar dio la noticia, durante el registro, a los usuarios de Dalil se les pregunta por su nombre completo, dirección, correo electrónico y profesión. Al mismo tiempo, la página de Google Play de la aplicación muestra que tras la instalación, Dalil solicita acceso a los contactos, la ubicación, los mensajes de texto, los registros de llamadas y la información del dispositivo del usuario. Esto, más o menos, es lo que vieron Locar y Rotem en la base de datos abierta.

Un servidor de producción sin contraseña.

Los investigadores necesitaban averiguar qué tipo de servidor estaban mirando. Esperaban que terminara siendo un banco de pruebas lleno de información antigua o irrelevante. Desafortunadamente, no fue así.

Cuando Locar y Rotem ubicaron la base de datos a fines de febrero, contenía cerca de 586 GB de datos, pero rápidamente se dieron cuenta de que se estaba introduciendo más información en ella. Los investigadores le dijeron a ZDNet que en aproximadamente un mes, la base de datos había crecido en unos 208 mil nuevos números de teléfono únicos, y aproximadamente 44 millones de eventos de aplicaciones (llamadas entrantes y salientes, registros, etc.).

En otras palabras, estaban mirando un servidor de producción que expone los datos de millones de personas reales de Arabia Saudita, Egipto, los Emiratos Árabes Unidos y otros países. Esta fue una mala noticia, pero lo peor estaba por venir.

Los cibercriminales ya han accedido a la base de datos.

Después de revolver un poco más, Locar y Rotem encontraron una nota de rescate. Alguien ya había localizado la base de datos, cifrado algunos de los datos y exigió un rescate para liberarla. Sin embargo, aparentemente, los desarrolladores de Dalil, una compañía llamada Tech-World , no notaron el incumplimiento o lo ignoraron y continuaron arrojando más y más información sensible a la base de datos expuesta.

No darse cuenta y / o ignorar la comunicación parece ser algo que los desarrolladores de Dalil hacen con más frecuencia de lo que deberían. Después de que Locar y Rotem vieron lo grave que es la situación, inmediatamente intentaron ponerse en contacto con la compañía de software, pero desafortunadamente, fue en vano. Los intentos de comunicarse con los desarrolladores quedaron sin respuesta, y el 4 de marzo, los dos investigadores llevaron la información al público.

Esta fue la decisión correcta. De hecho, podría argumentar que contarle a todo el mundo acerca de una base de datos abierta con cerca de 600 GB de datos confidenciales está destinado a llamar la atención de los malos, y tiene razón. La cuestión es que los ladrones ya han estado dentro, y ya han logrado causar algunos estragos. Encontrar la base de datos no requiere ninguna herramienta especial o un nivel particularmente alto de habilidades técnicas, y el desarrollador está mostrando claramente una actitud inexplicablemente relajada hacia todo esto, lo que significa que depende de los usuarios protegerse. Esperemos que sean conscientes de los peligros antes de que sea demasiado tarde.

March 28, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 5 + 6 ?