Aplikacja ujawniała dane ponad pięciu milionów użytkowników!
Aplikacja Dalil App, służąca do identyfikacji rozmówców połączeń przychodzących, ujawniała dane ponad pięć milionów swoich użytkowników, w tym m.in. ich numery telefonów, lokalizację, adresy e-mail, czy szczegóły dotyczące posiadanego urządzenia.
Jak informuje na twitterze Lukas Stefanko, analityk zagrożeń w ESET, twórcy aplikacji błędnie zabezpieczyli bazę danych, przez co dane użytkowników aplikacji są dostępne publicznie.
Według informacji podanych przez portal ZDNet, aplikacja Dalil od przeszło tygodnia udostępnia prawie 600 gigabajtów danych swoich użytkowników! Badacze bezpieczeństwa: Ran Locar i Noam Rotem odkryli, że wrażliwe informacje o użytkownikach aplikacji znajdują się w niezabezpieczonej bazie danych MongoDB. Ujawnia ona m.in.:
• numery telefonów komórkowych użytkowników,
• dane aplikacji (pełną nazwę użytkowników, adresy e-mail, konta Viber, płeć itp.),
• szczegóły posiadanego urządzenia (marka i model, numer seryjny, IMEI, adres MAC, numer karty SIM, wersja systemu operacyjnego),
• dane operatora,
• współrzędne GPS (jeśli użytkownik zezwolił aplikacji na geolokalizację),
• szczegóły połączeń i wyszukiwania numerów.
Większość zawartych w bazie danych informacji należy do użytkowników pochodzących z Arabii Saudyjskiej, Egiptu, Emiratów Arabskich, ale również osób mieszkających w krajach europejskich. Jak informuje na twitterze Lukas Stefanko, analityk zagrożeń w ESET, twórcy aplikacji do tej pory nie zabezpieczyli bazy, dlatego warto rozważyć zmianę narzędzia do identyfikacji rozmówców.
Uważaj, co instalujesz na swoim telefonie
Przypadek błędnej konfiguracji bazy wykorzystywanej przez Dalil App pokazuje, że nawet te z pozoru bezpieczne aplikacje, cieszące się dużą popularnością (ponad 5 milionów pobrań ze sklepu Google Play oraz ocena na poziomie 4/5 gwiazdek), mogą zagrozić naszej prywatności. Eksperci z ESET radzą zwracać uwagę na informacje udostępniane w aplikacjach – zachować rozwagę przy podawaniu wrażliwych danych, tj. numerów telefonów, adresów e-mail, czy PESEL-u.
Największym błędem w opinii ekspertów jest korzystanie z tego samego hasła do różnych aplikacji lub kont online. W sytuacji, gdy nasze dane wyciekną, cyberprzestępcy mogą próbować zalogować się do innych kont właśnie za jego pomocą. Dlatego tworząc silne i unikalne hasło, składające się z dużych i małych liter, znaków specjalnych oraz cyfr, znacznie zmniejszamy ryzyko potencjalnych włamań i omijania zabezpieczeń przez cyberprzestępców. Nie powinniśmy zapominać również o posiadaniu aktualnej wersji systemu operacyjnego telefonu oraz aplikacji antywirusowej, która potrafi wykryć m.in. niepożądane działanie instalowanych aplikacji.