如何設置一個500萬Dalil用戶暴露的密碼

這是一個有趣的難題：您發現移動應用程序開發人員錯誤配置了數據庫，並將數百萬人的數據暴露給萬維網。您嘗試聯繫供應商並告訴他們保護數據庫，但他們沒有回應。你是做什麼？

安全研究人員Ran Locar和Noam Rotem最近面臨同樣的困境。最後，他們決定公開宣布他們所找到的東西，並了解他們的動機，我們必須首先了解究竟發生了什麼。

超過500萬中東人的數據暴露無遺

Ran Locar是第一個偶然發現面向互聯網但未受密碼保護的MongoDB安裝的人。在Noam Rotem的幫助下，他發現該數據庫屬於Dalil--一個主要針對中東市場的Android來電顯示應用程序。 Dalil背後的想法是，即使你的聯繫人以外有人打電話給你，你也會知道他們是誰，你將能夠拒絕任何可能不需要的電話。

由於不太清楚的原因，Dalil正在收集有關其用戶的大量信息。根據Ran Locar爆料的Twitter帖子 ，在註冊期間，Dalil用戶被要求提供全名，地址，電子郵件和專業等信息。同時，應用程序的Google Play頁面顯示安裝後，Dalil會請求訪問用戶的聯繫人，位置，短信，通話記錄和設備信息。這或多或少是Locar和Rotem在開放數據庫中看到的。

沒有密碼的生產服務器

研究人員需要找出他們正在研究的服務器類型。他們希望它最終成為一個充滿舊的或無關信息的試驗台。不幸的是，它不是。

當Locar和Rotem在2月底找到數據庫時，它包含了接近586 GB的數據，但他們很快發現有更多信息被輸入其中。研究人員告訴ZDNet ，在大約一個月的時間內，該數據庫增加了大約208,000個獨特的新電話號碼，以及大約4400萬個應用事件（來電和去電，註冊等）。

換句話說，他們正在尋找一個生產服務器，公開來自沙特阿拉伯，埃及，阿聯酋和其他國家的數百萬真人的數據。這是壞消息，但更糟糕的是未來。

網絡犯罪分子已經訪問過該數據庫

在經過一番翻找之後，洛迦和羅騰找到了贖金票據。有人已經找到了數據庫，加密了一些數據，並要求勒索贖金. 然而，顯然，Dalil的開發商，一家名為Tech-World的公司，要么沒有註意到這一漏洞，要么忽略了它，並繼續將越來越多的敏感信息轉儲到暴露的數據庫中。

沒有註意到和/或忽略溝通似乎是Dalil的開發人員比他們應該做的更頻繁。在Locar和Rotem看到情況有多嚴重之後，他們立即試圖與軟件公司取得聯繫，但不幸的是，它無濟於事。與開發人員溝通的嘗試沒有得到答复，3月4日，兩位研究人員將這些信息公之於眾。

這是正確的決定。事實上，你可以爭辯說，告訴全世界一個有近600GB敏感數據的開放數據庫必然會引起壞人的注意，你是對的。問題是，騙子已經在裡面，他們已經設法造成了一些破壞。查找數據庫不需要任何特殊工具或特別高水平的技術技能，開發人員顯然對整個事物表現出令人費解的放鬆態度，這意味著用戶需要保護自己。讓我們希望他們在為時已晚之前意識到危險。