如何设置一个500万Dalil用户暴露的密码

Dalil Exposes User Data

这是一个有趣的难题:您发现移动应用程序开发人员错误配置了数据库,并将数百万人的数据暴露给万维网。您尝试联系供应商并告诉他们保护数据库,但他们没有回应。你是做什么?

安全研究人员Ran LocarNoam Rotem最近面临同样的困境。最后,他们决定公开宣布他们所找到的东西,并了解他们的动机,我们必须首先了解究竟发生了什么。

超过500万中东人的数据暴露无遗

Ran Locar是第一个偶然发现面向互联网但未受密码保护的MongoDB安装的人。在Noam Rotem的帮助下,他发现该数据库属于Dalil--一个主要针对中东市场的Android来电显示应用程序。 Dalil背后的想法是,即使你的联系人以外有人打电话给你,你也会知道他们是谁,你将能够拒绝任何可能不需要的电话。

由于不太清楚的原因,Dalil正在收集有关其用户的大量信息。根据Ran Locar爆料的Twitter帖子 ,在注册期间,Dalil用户被要求提供全名,地址,电子邮件和专业等信息。同时,应用程序的Google Play页面显示安装后,Dalil会请求访问用户的联系人,位置,短信,通话记录和设备信息。这或多或少是Locar和Rotem在开放数据库中看到的。

没有密码的生产服务器

研究人员需要找出他们正在研究的服务器类型。他们希望它最终成为一个充满旧的或无关信息的试验台。不幸的是,它不是。

当Locar和Rotem在2月底找到数据库时,它包含了接近586 GB的数据,但他们很快发现有更多信息被输入其中。研究人员告诉ZDNet ,在大约一个月的时间内,该数据库增加了大约208,000个独特的新电话号码,以及大约4400万个应用事件(来电和去电,注册等)。

换句话说,他们正在寻找一个生产服务器,公开来自沙特阿拉伯,埃及,阿联酋和其他国家的数百万真人的数据。这是坏消息,但更糟糕的是未来。

网络犯罪分子已经访问过该数据库

在经过一番翻找之后,洛迦和罗腾找到了赎金票据。有人已经找到了数据库,加密了一些数据,并要求勒索赎金. 然而,显然,Dalil的开发商,一家名为Tech-World的公司,要么没有注意到这一漏洞,要么忽略了它,并继续将越来越多的敏感信息转储到暴露的数据库中。

没有注意到和/或忽略沟通似乎是Dalil的开发人员比他们应该做的更频繁。在Locar和Rotem看到情况有多严重之后,他们立即试图与软件公司取得联系,但不幸的是,它无济于事。与开发人员沟通的尝试没有得到答复,3月4日,两位研究人员将这些信息公之于众。

这是正确的决定。事实上,你可以争辩说,告诉全世界一个有近600GB敏感数据的开放数据库必然会引起坏人的注意,你是对的。问题是,骗子已经在里面,他们已经设法造成了一些破坏。查找数据库不需要任何特殊工具或特别高水平的技术技能,开发人员显然对整个事物表现出令人费解的放松态度,这意味着用户需要保护自己。让我们希望他们在为时已晚之前意识到危险。

March 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
3 + 2是什么?