Dalil是一款類似於Truecaller的智能電話本應用程序,但僅限於沙特和其他阿拉伯地區用戶。由於該應用所使用的MongoDB數據庫可以在不輸入密碼的情況下在線訪問,導致用戶數據持續洩露一週時間。
該漏洞由安全研究人員Ran Locar和Noam Rotem發現,在數據庫中包含了這款APP的所有數據,從用戶個人詳細信息到活動日誌。
外媒ZDNet對樣本進行審查之後,發現該數據庫中包括以下信息
● 用戶手機號碼
● 應用註冊數據(完整姓名、電子郵件地址、Viber賬號、性別等等)
● 設備信息(生產日期和型號、序列號、IMEI、MAC地址、SIM號碼、系統版本等等)
● 電信運營商細節
● GPS座標(不適用於所有用戶)
● 個人通話詳情和號碼搜索
基於與每個條目相關聯的國家/地區代碼,數據庫中包含的大多數數據屬於沙特用戶,此外還有少部分用戶來自埃及,阿聯酋,歐洲甚至一些以色列/巴勒斯坦人。顯然這些數據非常的敏感,甚至可以通過GPS座標數據進行跟蹤。
數據庫仍然暴露大約585.7GB的信息。 Locar說每天都會添加新記錄,這意味著這是應用程序的生產服務器,而不是廢棄的測試系統或冗餘備份。研究人員告訴ZDNet,僅在上個月就已經註冊了大約208,000個新的獨特電話號碼和4400萬個應用事件根據Play商城顯示的APP信息,Dalil的下載次數已經超過500萬。
分享到:
閱讀更多 cnBeta 的文章
