Como a não Configuração de uma Senha Deixou Expostos de 5 milhões de Usuários do Dalil
Aqui está um enigma interessante: você descobre que um desenvolvedor de aplicativos móveis configurou mal um banco de dados e está expondo os dados de milhões e milhões de pessoas na rede mundial de computadores. Você tenta entrar em contato com o fornecedor e dizer a eles para proteger o banco de dados, mas eles não respondem. O que fazer?
Os pesquisadores de segurança Ran Locar e Noam Rotem enfrentaram o mesmo dilema recentemente. No final, eles decidiram anunciar publicamente o que haviam encontrado e, para entender os seus motivos, precisamos primeiro entender o que aconteceu exatamente.
Índice
Os dados de mais de 5 milhões de pessoas do Oriente Médio ficaram expostos
Ran Locar foi a pessoa que primeiro se deparou com uma instalação do MongoDB que estava usando a Internet, mas não estava protegido por uma senha. Com a ajuda de Noam Rotem, ele descobriu que o banco de dados pertencia ao Dalil - um aplicativo de identificação de chamadas do Android voltado principalmente para o mercado do Oriente Médio. A ideia por trás do Dalil é que, mesmo que alguém fora dos seus contatos esteja ligando para você, você saberá quem ele é e poderá rejeitar todas as chamadas potencialmente indesejadas.
Por razões que não são particularmente claras, a Dalil está coletando uma enorme quantidade de informações sobre os seus usuários. De acordo com o tópico do Twitter com o qual o Ran Locar deu a notícia, durante o registro, os usuários da Dalil são solicitados por informações como nome completo, endereço, e-mail e profissão. Ao mesmo tempo, a página do aplicativo no Google Play mostra que, após a instalação, a Dalil solicita acesso aos contatos do usuário, localização, mensagens de texto, registros de chamadas e informações do dispositivo. Isso, mais ou menos, é o que Locar e Rotem viram no banco de dados aberto.
Um servidor de produção sem uma senha
Os pesquisadores precisavam descobrir que tipo de servidor eles estavam olhando. Eles esperavam que isso acabasse sendo uma cama de teste cheia de informações antigas ou irrelevantes. Infelizmente, não era para ser.
Quando Locar e Rotem localizaram o banco de dados no final de fevereiro, ele continha cerca de 586 GB de dados, mas eles notaram rapidamente que mais informações estavam sendo inseridas nele. Os pesquisadores disseram à ZDNet que, em questão de cerca de um mês, o banco de dados cresceu cerca de 208 mil novos números de telefones e aproximadamente 44 milhões de eventos de aplicativos (chamadas de entrada e saída, registros, etc.).
Em outras palavras, eles estavam olhando para um servidor de produção expondo os dados de milhões de pessoas reais da Arábia Saudita, Egito, Emirados Árabes Unidos e outros países. Esta foi uma má notícia, mas o pior ainda estava por vir.
Os cibercriminosos já tinham acessado o banco de dados
Depois de procurar um pouco mais, Locar e Rotem encontraram uma nota de resgate. Alguém já havia localizado o banco de dados, criptografado alguns dados e exigido um resgate para liberá-los. Aparentemente, no entanto, os desenvolvedores da Dalil, uma empresa chamada Tech-World, não notaram a violação ou a ignoraram e continuaram despejando mais e mais informações confidenciais no banco de dados exposto.
Deixar de notar e/ou ignorar a comunicação parece ser algo que os desenvolvedores de Dalil fazem com mais frequência do que deveriam. Depois que Locar e Rotem viram o quão séria a situação era, eles imediatamente tentaram entrar em contato com a empresa de software, mas, infelizmente, não adiantou. As tentativas de se comunicar com os desenvolvedores ficaram sem resposta e, em 4 de março, os dois pesquisadores trouxeram as informações a público.
Essa foi a decisão certa. De fato, você poderia argumentar que dizer ao mundo inteiro sobre um banco de dados aberto com cerca de 600 GB de dados sensíveis obrigatoriamente chamar a atenção dos bandidos, e você está certo. A coisa é que os bandidos já estão dentro, e eles já conseguiram causar estragos. Encontrar o banco de dados não requer ferramentas especiais ou um nível particularmente alto de habilidades técnicas, e o desenvolvedor está claramente mostrando uma atitude inexplicavelmente relaxada em relação à coisa toda, o que significa que cabe aos usuários se protegerem. Vamos esperar que eles estejam cientes dos perigos antes que seja tarde demais.
