Come non impostare una password ha portato all'esposizione di 5 milioni di utenti Dalil
Ecco un enigma interessante: scopri che uno sviluppatore di applicazioni mobili non ha configurato correttamente un database e sta esponendo i dati di milioni e milioni di persone al world wide web. Si tenta di contattare il fornitore e dire loro di proteggere il database, ma non rispondono. cosa fai?
I ricercatori di sicurezza Ran Locar e Noam Rotem si sono trovati di fronte allo stesso dilemma di recente. Alla fine, hanno deciso di annunciare pubblicamente ciò che avevano trovato, e per capire le loro motivazioni, dobbiamo prima imparare cosa è successo esattamente.
Table of Contents
I dati di oltre 5 milioni di abitanti del Medio Oriente esposti
Ran Locar è stata la persona che per prima ha incappato in un installazione di MongoDB che era rivolta verso Internet ma non era protetta da una password. Con aiuto di Noam Rotem, ha capito che il database apparteneva a Dalil - un applicazione di ID chiamante Android destinata principalmente al mercato mediorientale. idea alla base di Dalil è che anche se qualcuno al di fuori dei tuoi contatti ti sta chiamando, saprai chi sono e sarai in grado di rifiutare qualsiasi chiamata potenzialmente indesiderata.
Per ragioni che non sono particolarmente chiare, Dalil sta raccogliendo un enorme quantità di informazioni sui suoi utenti. Secondo il thread Twitter con cui Ran Locar ha dato la notizia, durante la registrazione, agli utenti di Dalil vengono chieste cose come il loro nome completo, indirizzo, email e professione. Allo stesso tempo, la pagina di Google Play dell app mostra che al momento dell installazione, Dalil richiede accesso ai contatti dell utente, alla posizione, ai messaggi di testo, ai registri delle chiamate e alle informazioni sul dispositivo. Questo, più o meno, è ciò che Locar e Rotem hanno visto nel database aperto.
Un server di produzione senza password
I ricercatori avevano bisogno di scoprire che tipo di server stavano guardando. Speravano che sarebbe diventato un banco di prova pieno di informazioni vecchie o irrilevanti. Sfortunatamente, non doveva essere.
Quando Locar e Rotem hanno localizzato il database alla fine di febbraio, contenevano circa 586 GB di dati, ma hanno rapidamente notato che sono state fornite ulteriori informazioni. I ricercatori hanno detto a ZDNet che nel giro di circa un mese il database è cresciuto di circa 208 mila nuovi numeri di telefono unici e circa 44 milioni di eventi app (chiamate in entrata e in uscita, registrazioni, ecc.).
In altre parole, stavano guardando un server di produzione che esponeva i dati di milioni di persone reali dall Arabia Saudita, dall Egitto, dagli Emirati Arabi Uniti e da altri paesi. Questa era una brutta notizia, ma il peggio doveva ancora venire.
I criminali informatici hanno già effettuato accesso al database
Dopo aver frugato un po di più, Locar e Rotem hanno trovato una richiesta di riscatto. Qualcuno aveva già localizzato il database, crittografato alcuni dati e chiesto un riscatto per rilasciarlo. Apparentemente, tuttavia, gli sviluppatori di Dalil, una società chiamata Tech-World , non hanno notato la violazione o hanno ignorata e hanno continuato a scaricare informazioni sempre più sensibili nel database esposto.
Non riuscire a notare e / o ignorare la comunicazione sembra essere qualcosa che gli sviluppatori di Dalil fanno più spesso di quanto dovrebbero. Dopo che Locar e Rotem hanno visto la gravità della situazione, hanno immediatamente cercato di mettersi in contatto con la società di software, ma sfortunatamente non ci sono riusciti. I tentativi di comunicare con gli sviluppatori non hanno avuto risposta e il 4 marzo i due ricercatori hanno portato informazione al pubblico.
Questa è stata la decisione giusta. Infatti, si potrebbe sostenere che dire al mondo intero di un database aperto con circa 600 GB di dati sensibili è destinato a attirare attenzione dei cattivi, e hai ragione. Il fatto è che i truffatori sono già stati dentro, e sono già riusciti a scatenare il caos. Trovare il database non richiede strumenti speciali o un livello particolarmente alto di competenze tecniche, e lo sviluppatore mostra chiaramente un atteggiamento rilassato inesplicabilmente verso il tutto, il che significa che spetta agli utenti proteggersi. Speriamo che siano consapevoli dei pericoli prima che sia troppo tardi.
