如何設置一個500萬Dalil用戶暴露的密碼

Dalil Exposes User Data

這是一個有趣的難題:您發現移動應用程序開發人員錯誤配置了數據庫,並將數百萬人的數據暴露給萬維網。您嘗試聯繫供應商並告訴他們保護數據庫,但他們沒有回應。你是做什麼?

安全研究人員Ran LocarNoam Rotem最近面臨同樣的困境。最後,他們決定公開宣布他們所找到的東西,並了解他們的動機,我們必須首先了解究竟發生了什麼。

超過500萬中東人的數據暴露無遺

Ran Locar是第一個偶然發現面向互聯網但未受密碼保護的MongoDB安裝的人。在Noam Rotem的幫助下,他發現該數據庫屬於Dalil--一個主要針對中東市場的Android來電顯示應用程序。 Dalil背後的想法是,即使你的聯繫人以外有人打電話給你,你也會知道他們是誰,你將能夠拒絕任何可能不需要的電話。

由於不太清楚的原因,Dalil正在收集有關其用戶的大量信息。根據Ran Locar爆料的Twitter帖子 ,在註冊期間,Dalil用戶被要求提供全名,地址,電子郵件和專業等信息。同時,應用程序的Google Play頁面顯示安裝後,Dalil會請求訪問用戶的聯繫人,位置,短信,通話記錄和設備信息。這或多或少是Locar和Rotem在開放數據庫中看到的。

沒有密碼的生產服務器

研究人員需要找出他們正在研究的服務器類型。他們希望它最終成為一個充滿舊的或無關信息的試驗台。不幸的是,它不是。

當Locar和Rotem在2月底找到數據庫時,它包含了接近586 GB的數據,但他們很快發現有更多信息被輸入其中。研究人員告訴ZDNet ,在大約一個月的時間內,該數據庫增加了大約208,000個獨特的新電話號碼,以及大約4400萬個應用事件(來電和去電,註冊等)。

換句話說,他們正在尋找一個生產服務器,公開來自沙特阿拉伯,埃及,阿聯酋和其他國家的數百萬真人的數據。這是壞消息,但更糟糕的是未來。

網絡犯罪分子已經訪問過該數據庫

在經過一番翻找之後,洛迦和羅騰找到了贖金票據。有人已經找到了數據庫,加密了一些數據,並要求勒索贖金. 然而,顯然,Dalil的開發商,一家名為Tech-World的公司,要么沒有註意到這一漏洞,要么忽略了它,並繼續將越來越多的敏感信息轉儲到暴露的數據庫中。

沒有註意到和/或忽略溝通似乎是Dalil的開發人員比他們應該做的更頻繁。在Locar和Rotem看到情況有多嚴重之後,他們立即試圖與軟件公司取得聯繫,但不幸的是,它無濟於事。與開發人員溝通的嘗試沒有得到答复,3月4日,兩位研究人員將這些信息公之於眾。

這是正確的決定。事實上,你可以爭辯說,告訴全世界一個有近600GB敏感數據的開放數據庫必然會引起壞人的注意,你是對的。問題是,騙子已經在裡面,他們已經設法造成了一些破壞。查找數據庫不需要任何特殊工具或特別高水平的技術技能,開發人員顯然對整個事物表現出令人費解的放鬆態度,這意味著用戶需要保護自己。讓我們希望他們在為時已晚之前意識到危險。

March 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
7 + 7是什麼?