Immagine: ZDNet
Dalil, un’applicazione per Android che fornisce l’ID chiamante servizi analoghi a Truecaller, ma per l’Arabia e altri Arabi utenti, è stata fuoriuscita di dati utente per una settimana a causa di un database MongoDB che è stato lasciato accessibile online, senza una password.
Scoperto da ricercatori di sicurezza Correva Locar e Noam Rotem, il database contiene quello che sembra essere l’applicazione di tutti i dati, i dati personali dell’utente per l’attività di log.
Dettagli inclusi nel campione esaminato da ZDNet ha rivelato il database contiene informazioni quali:
Utente del telefono cellulare di numbersApp dati di registrazione (nome, cognome, e-mail, Viber conto, di genere, etc.)Dettagli del dispositivo (marca e modello, numero di serie, codice IMEI, l’indirizzo MAC, il numero di SIM, versione del sistema operativo, altri)operatore Telecom detailsGPS coordinate (non per tutti gli utenti)i Singoli dettagli della chiamata e il numero di ricerche
Immagine: ZDNet
La maggior parte dei dati inseriti nel database, appartiene all’Arabia utenti –basato sul codice di paese associato a ogni voce. Dati egitto, Emirati, Europea, e anche un paio di Israelo/Palestinese numeri è stato incluso anche, ma in misura minore.
L’ampiezza e la natura sensibile dei dati dell’utente possono consentire una minaccia attore per creare profili accurati su app gli utenti. Gli utenti che hanno consentito l’app per accedere a dati di posizione sono anche in pericolo di essere rintracciato.
Le coordinate GPS –se disponibili, consentono una minaccia attore per tracciare la posizione degli utenti in tempo reale. Tutti una minaccia attore deve fare è chiamare il numero di telefono, orologio esposto database per una nuova voce di registro, e di estrarre l’utente di posizione GPS in quel particolare momento.
Il Dalil MongoDB server è anche banalmente semplice trovare on-line, utilizzando strumenti facilmente reperibili. ZDNet è stato in grado di autonomamente individuare il database basato su un semplice suggerimento che abbiamo ricevuto da Locar.
Al momento della scrittura, il database è ancora esposizione di circa 585.7 GB di informazioni. Locar dice che il nuovo record vengono aggiunti ogni giorno, ciò significa che questo è l’app server di produzione, piuttosto che abbandonato il sistema di prova o di backup ridondante.
Secondo Dalil Play Store di pagina, l’app è stata scaricata da oltre cinque milioni di utenti. Tuttavia, il database non contengono le informazioni di tutti gli utenti.
Locar dice che a un certo punto una minaccia attore anche l’accesso al database crittografati dei dati, e a sinistra una nota di riscatto dietro, ma Dalil gruppo non si nota anche la violazione e continua a salvare i nuovi dati dell’utente e app registri di, ovviamente, il compromesso database.
Il ricercatore ha detto di ZDNet, che circa il 208,000 uniche, numeri di telefono e 44 milioni di app eventi –registrazioni, gli accessi e le chiamate entranti e uscenti-sono stati registrati nell’ultimo mese, da solo, e i dati sono ancora sommerso.
Locar ci ha detto che ha contattato Dalil squadra il 26 febbraio, quando in primo luogo ha notato l’esposto database. Al momento della scrittura, il database rimane aperta, nonostante diversi tentativi di contattare il fornitore. Dalil la squadra di non ritorno richieste di commento da ZDNet.
Più di violazione dei dati di copertura:
La società cinese foglie Musulmano-tracking di riconoscimento facciale database esposto onlineHackers farci i server del provider di posta elettronica VFEmailPOS azienda dice hacker piantato malware sul cliente networksHackers cercato di rubare i 13 milioni di euro, a Malta Bank of Valletta
Hacker mette in vendita il terzo turno di violato i database sul Buio Web127 milioni di record utente da 8 aziende per la vendita sul buio webMassive violazione delle perdite di 773 milioni di indirizzi e-mail, 21 milioni di password CNET
Gli hacker di turno per il furto di dati e la rivendita sul Buio Web per gli più alti versamenti TechRepublic
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati