ანგარიში – დალის მონაცემების დარღვევა: 5+ მილიონი მომხმარებლის მონაცემები დაუცველი აპიდან წარმოდგენილი

დალილი ყველაზე დიდი სატელეფონო დირექტორია საუდის არაბეთში.

5 მილიონზე მეტი გადმოტვირთვის საშუალებით, დაილი არის მე -13 ყველაზე პოპულარული საკომუნიკაციო პროგრამა სამეფოში. კონტექსტისთვის, ეს არის სადაც Viber და Telegram რეიტინგში აშშ-ში. მისი მომხმარებელთა 96% საუდის არაბეთშია; დანარჩენი ეგვიპტეში და სხვა არაბულ ქვეყნებში არიან.

აპი მუშაობს Truecaller- ის მსგავსად, ეხმარება მომხმარებლებს უცნობი ნომრების ამოცნობაში. თეორიულად, ეს გთავაზობთ დაცვას სიცივედან და სხვა არასასურველი კონტაქტისგან.

თუმცა, რეალობა სხვა ამბავს მოგვითხრობს. ცნობილი ქუდების ჰაკერების და აქტივისტის ცნობილი ნოამ რ, VPNMentor– ის კვლევის ჯგუფმა დალილის მონაცემთა ბაზაში უსაფრთხოების მნიშვნელოვანი დარღვევა აღმოაჩინა. იმის ნაცვლად, რომ დაიცვან მომხმარებლები, ეს დარღვევა ნიშნავს სრული მონაცემები 5 მილიონი + მომხმარებლისთვის ღია და ხელმისაწვდომია მთელ ინტერნეტს.

პროგრამის ნებართვები

ყველა აპლიკაციის მსგავსად, Dalil- ს აქვს ნებართვების სია, რომელზეც მომხმარებლები უნდა შეთანხმდნენ პროგრამის ჩამოტვირთვის და ინსტალაციამდე. მოსალოდნელია ზოგიერთი ნებართვა; მაგალითად, დამქირავებლის პირადობის მოწმობის პროგრამას კონტაქტების წაკითხვა სჭირდება. სხვა ნებართვები უფრო საეჭვოამაგალითად, თქვენი ტელეფონის შენახული ფაილების წაკითხვა და შეცვლა, ზარების გადაწერა და თქვენი ადგილმდებარეობის თვალყურის დევნება.

დალის მონაცემთა ბაზა არ არის დაცული

თუმცა საეჭვოა ზოგიერთი ნებართვა, მაგრამ ეს არ არის დალილის უსაფრთხოების საკითხების ძირითადი მიზეზი.

აპის მიერ შეგროვებული მომხმარებლის ყველა მონაცემი ინახება არაგანაზღვრე და არაკონტროლირებად MongoDB მონაცემთა ბაზაში. ეს მიიღწევა ავტორიზაციის გარეშე, ხოლო ჰაკერების საშუალებით პაროლს უფასოდ აძლევს მილიონობით ადამიანის მონაცემებს.

ასევე პროგრამის ჟურნალი, ეს მონაცემთა ბაზა მოიცავს როგორც მოსავალს, ასევე ნებაყოფლობით წარმოდგენილ პირად ინფორმაციას. მომხმარებლის მოგზაურობა ქვემოთ მოცემულია, თუ რამდენ მონაცემს შეუძლია წვდომის პროგრამა:

ნაგულისხმევი, აპლიკაცია აგროვებს მომხმარებლებს:

  • მობილური ტელეფონის ნომერი
  • IP მისამართი (საჭირო და შიდა)
  • მოწყობილობის მოდელი, ნიშანი, სერიული ნომერი და ოპერაციული სისტემა
  • IMEI (მოწყობილობის კონკრეტული საიდენტიფიკაციო ნომერი)
  • SIM ბარათისა და ქსელის პროვაიდერის შესახებ ინფორმაცია
  • GPS და ქსელის ადგილმდებარეობის შესახებ ინფორმაცია

როდესაც მომხმარებლები ქმნიან თავიანთ პროფილებს, მათ სთხოვა დაამატოთ დამატებითი ინფორმაცია, მათ შორის:

  • პირადი ელ.ფოსტის ანგარიში
  • Სახელი და გვარი
  • გენდერი
  • პროფესია

ისევ, ეს მონაცემები ამჟამად ნაჩვენებია სრულიად ღია მონაცემთა ბაზაში. ჩვენმა გუნდმა იპოვა ეს: ეს ნიშნავს ყველას, ვისაც სურს მოძებნოს ის, რაც შეიძლება. და სანამ ჩვენი ჰაკერები არ არიან მავნე, ჩვენ ვერ ვიძლევთ გარანტიას სხვის მოტივაციებზე.

ნიმუშის პროფილი

როგორც ზემოთ ნაჩვენებია, აპლიკაცია აგროვებს დიდი რაოდენობით ინფორმაციას. ეს საშუალებას მოგვცემდა შექმენით პროფილის ერთი Dalil მომხმარებელი გატაცებული მონაცემებიდან. მიუხედავად იმისა, რომ ჩვენ გადავწყვიტეთ რაიმე გადამწყვეტი იდენტიფიკაციის ინფორმაცია, ეს გვიჩვენებს, რამდენად საშიშია ეს მონაცემები არასწორი ხელში.

ასევე მომხმარებლის ტელეფონის ნომერი, IMEI და ქსელის მონაცემები, ჩვენ ასევე შეგვიძლია ვნახოთ უამრავი პერსონალური ინფორმაცია.

როდესაც მონაცემთა ბაზიდან Unicode ვთარგმნიდით არაბულ ასოებს, ვხედავთ, რომ მომხმარებელმა ჩამოთვალა თავისი პროფესია, როგორც Hail- ის რეგიონი, ის ტერიტორია, რომელშიც ის ცხოვრობს. ამასთან, როგორც მისი ელ.ფოსტის ორივე მისამართია ჩამოთვლილი, ჩვენ უბრალოდ გავარჩიეთ მისი დეტალები. ამან მოგვცა მისი Instagram- ის პროფესიონალური პროფილის ნახვა:

როდესაც ჩვენ ჩამოვთვალეთ ჩამოთვლილი ფორმატის მისამართი, ჩვენ ვიპოვნეთ ეს ადგილმდებარეობა:

მისი ბოლო გამოყენების დროს ჩამოთვლილი კოორდინატებიდან სულ რაღაც ორი ბლოკია, რაც ძალიან ზუსტი სურათს ხატავს, თუ სად ნახავთ ამ მომხმარებელს:

უსაფრთხოების საკითხები

ეს წარმოადგენს უსაფრთხოების ორ განსხვავებულ საკითხს.

პირველ რიგში: მიზნობრივი adware და malware. მიუხედავად იმისა, რომ მონაცემთა ბაზა იცავს ზოგიერთ მონაცემს (მაგალითად, მომხმარებლის პაროლები დალაგებულია), ხელმისაწვდომი ინფორმაცია საშუალებას გვაძლევს შევქმნათ საკმაოდ ზუსტი მომხმარებლის პროფილები..

თუ ამ მონაცემთა ბაზის შინაარსი მიეყიდა მესამე მხარის რეკლამებს (ან ბნელ ქსელში მთავრობებსა და ტერორისტულ ორგანიზაციებს), მომხმარებელთა გენდერების, პროფესიების და მდებარეობების ცოდნა მათ საშუალებას მისცემს შექმნან მიზნობრივი რეკლამები (ან მტრულ მოქმედებებს)..

გარდა ამისა, და რაც უფრო შემაშფოთებელია, მომხმარებლების ტელეფონების, ისევე როგორც მათი ოპერაციული სისტემების ზუსტი და მოდელის ცოდნა საშუალებას იძლევა უაღრესად სპეციფიკური malware განთავსება. ამან შეიძლება შექმნას უზარმაზარი პირადი და ფინანსური ზარალი მილიონობით მომხმარებლისთვის საუდის არაბეთში, ეგვიპტეში და სხვა ქვეყნებში, სადაც დალილი პოპულარულია.

არსებობს კიდევ ერთი, ბევრად უფრო მუქი მიზეზი, რომ დალის დაუცველი მონაცემთა ბაზა პოტენციურად იმდენად საშიშია. საუდის არაბეთს აქვს მსოფლიოში მკაცრი ცენზურის კანონები, რომლებიც ვრცელდება დამტკიცებულ აპლიკაციებზე განხორციელებული სატელეფონო ზარების მონიტორინგსა და ცენზურაზე. თუ ეს მონაცემთა ბაზა მოხვდება საუდის მთავრობის ხელში ჩაგდება მათ შეეძლოთ ადვილად დაედგინათ მომხმარებლები ტელეფონის ნომრების საშუალებით და მოუსმინეს მათ სატელეფონო საუბრებს.

ეს ბადებს ორ წითელ დროშას. უპირველეს ყოვლისა, ნებართვები საშუალებას აძლევს აპს დაუბრუნოს ზარები. სატელეფონო ზარები ავტომატურად იფილტრება ნებადართული აპლიკაციის საშუალებით, რაც საშუალებას აძლევს საუდის ოფიციალურ წარმომადგენლებს მოუსმინონ.

აპს ასევე აქვს ნებართვა, რომ მოახდინოს „მოწყობილობაზე ანგარიშების მოძებნა“. როგორც ქვემოთ მოცემულია მომხმარებლის პროფილში, აპლიკაცია მოსავალს ინფორმაციას მომხმარებლების Viber პროფილების შესახებ. Rakuten- ის Viber ნებადართულია სამეფოში, რაც ნიშნავს ეს მგრძნობიარეა თვალთვალისთვის.

გარდა ამისა, პროგრამა ნებართვები იძლევა მოწყობილობის შესანახ მედია ფაილებსა და მიღებულ ტექსტურ შეტყობინებებს. მიუხედავად იმისა, რომ მონაცემთა ბაზაში ვერ ვიპოვნეთ რაიმე სურათი, ვიდეო ან ტექსტი, შესაძლებელია ეს ფაილები სხვა ადგილას იყოს შენახული და ასევე შესაძლებელია მათი დაბნევა..

ჩვენ აღმოვაჩინეთ, რომ აპლიკაცია ასევე ახდენს ჩანაწერების საშუალებით ჩაწერილი. მიუხედავად იმისა, რომ საკონტაქტო ტელეფონის ნომერი დაშიფრული იყო მონაცემთა ბაზაში, ჩაწერილია კონტაქტების სახელები, რომელთა მომხმარებლებს ეძებს.

მკაცრი ცენზურა, რომელიც დაკავშირებულია მომხმარებლის მდებარეობებზე დაკვირვების შესაძლებლობასთან ერთად (კვლავ, აპლიკაციის ნებართვის გამო) შეიძლება ნიშნავდეს მძიმე შედეგები ყველასთვის, ვინც საუდის არაბეთის კანონების საწინააღმდეგოა. საუდის არაბეთის მთავრობამ ამ მონაცემთა ბაზაში წვდომის შემთხვევაში, ადამიანებს, რომელთა პროფესიაც მათ უტოვებენ მონიტორინგს, შეიძლება განიცადონ რეალური საფრთხეები.

მაგალითად, ჟურნალისტმა უნდა მოძებნოს – და ესაუბროს – კონტაქტს და მოაწყოს შეხვედრა, მთავრობას თეორიულად შეეძლო ამ კონტაქტის დადგენა. ეს განსაკუთრებით სავარაუდოა, თუ კონტაქტი შენახული იქნა იდენტიფიკატორთან (მაგალითად, “ბობ – პიცა” ან “სოფო – სამუშაო”) და თუ ამის გათვალისწინებით საუდის არაბეთის მოსახლეობის 15% იყენებს Dalil.

აპლიკაციის ადგილმდებარეობის ნებართვები ნიშნავს, რომ ოფიციალურ პირებს შეეძლოთ ჟურნალისტის თვალთვალისთვის (და მათი კონტაქტის) შესახებ. მათ შეეძლოთ მიჰყოლოდნენ მას შეხვედრაში, მოუსმინეს ყველაფრის შესახებ ინფორმაცია და დაუყოვნებლივ დააპატიმრონ.

ეთიკური გარჩევა და დასკვნა

ეს დარღვევა აღმოვაჩინეთ ვებ რუკების პროექტის შედეგად. ჩვენი ჰაკერი იყენებს პორტის სკანირებას კონკრეტული IP ბლოკების შესამოწმებლად და სისუფთავეობის სისტემებში ღია ხვრელების შესამოწმებლად. ისინი ამოწმებენ თითოეულ ხვრელს მონაცემების გაჟონვისთვის. Ამ შემთხვევაში, მათ დააინსტალირეს აპლიკაცია და ჩაწერეს საკუთარი მონაცემები. ეს საშუალებას აძლევდა მათ დაადასტურონ ორივე, რომ მათი მონაცემები გაჟონა, და მონაცემთა ბაზის ვინაობა.

ჩვენ დალისთან დავუკავშირდით, რომ მათ ამ უსაფრთხოების დარღვევის შესახებ გააფრთხილეს. ჩვენს ინფორმაციაში იყო მოცემული თარიღი, როდესაც ჩვენ ვგეგმავდით ამ სტატიის გამოქვეყნებას და რამდენიმე დღის ვაძლევთ მათ მონაცემთა ბაზის მოძიებას და უზრუნველსაყოფად, სანამ ეს ცოდნა გახდებოდა. გამოქვეყნების დროს, მათგან ჯერ არ გაგვიგია. რადგან ჰაკერებს აშკარად შეუძლიათ იპოვონ ეს მონაცემთა ბაზა ინტერნეტით – და შეიძლება უკვე ჰქონდეთ – მნიშვნელოვანია ჩვენი დასკვნების გაზიარება საზოგადოებასთან ასე რომ, მათ შეუძლიათ მიიღონ შესაბამისი ზომები თავიანთი მონაცემების დასაცავად.

მას შემდეგ, რაც ჩვენ დელილს განვაცხადეთ ეს საკითხი (და სანამ ჩვენ გამოვაქვეყნებდით ამ მოხსენებას), ჩვენ ასევე შევამჩნიეთ, რომ სანამ სერვერზე რამდენიმე მონაცემი დაშიფრული იყო, მაგრამ ახალი მონაცემები არ არის დაშიფრული, როდესაც შესული იყო. ეს აჩვენებს, რომ მინიმუმ ერთი მუქარის მსახიობი წვდებოდა დალის მომხმარებლის მონაცემებს. ჩვენ დალილს ვურჩევთ უძლიერეს პირობებში, სწრაფად იმოქმედონ და დაიცვან თავიანთი მომხმარებლები.

გაკვეთილი აქ ნათელია: პოპულარობა არ უდრის ნდობას. დალის დაუცველი მონაცემთა ბაზა ამის დამადასტურებელია მომხმარებლები ფრთხილად უნდა იყვნენ, როდესაც შეთანხმდნენ ნებართვაზე და უცნობ პირებს პირად ინფორმაციას ენიჭება, რადგან ყველაზე კარგად დანახული აპლიკაციებიც კი შეცდომებს უშვებენ.

წარსული ცნობები

თქვენ ასევე შეგიძლიათ წაიკითხოთ ირანში გამოყენებული ყალბი პროგრამების ანგარიში, მომხმარებლების, VPN გაჟონვის ანგარიშის და მონაცემების კონფიდენციალურობის სტატისტიკის ანგარიშის შესამოწმებლად.

გთხოვთ, გაითვალისწინოთ ეს მოხსენება ფეისბუქზე ან გააგზავნეთ ის.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me