تطبيق (دليل Dalil) السعودي لعرض هوية المتصل يكشف بيانات 5 ملايين مستخدم عبر قاعدة بيانات غير محمية


تطبيق هوية المتصل “دليل” السعودي الذي تم تنزيله من قبل أكثر من 5 مليون شخص يسرب بيانات المستخدمين منذ أكثر من أسبوع ، والوصول وفتح قاعدة البيانات MongoDB  الغير محمية الخاصة به على الإنترنت على نطاق واسع  حتى ان أي شخص يتمكن من الوصول إليها. الباحثون الذين اكتشفوا قاعدة البيانات هذه  هم نوام روتيم  Noam Rotem و ران لوكار Ran Locar  ، وعلى الرغم من جهودهم للتواصل مع مطوري التطبيق ، فقد فشلوا في الحصول على رد. البيانات التي يمكن الوصول إليها حساسة للغاية ، بما في ذلك التفاصيل الشخصية وكذلك سجلات النشاط لجميع المستخدمين ، مثل الاسم الكامل والبريد الإلكتروني وحساب فايبر ورقم الهوية الدولية للأجهزة النقالة IMEI الخاص بالجهاز ورقم بطاقة السيم كارت  SIM وعنوان عنوان التحكم بالنفاذ للوسط (الماك ادرس MAC address )  وإحداثيات نظام المواقع العالمي GPS  والمزيد.

بما أن التطبيق موجه بشكل أساسي للسعوديين ، فإن غالبية المستخدمين المتأثرين هم من المملكة العربية السعودية ، ولكن هناك عدد قليل من الأرقام التابعة لمستخدمين من مصر والامارات  وفلسطين واسرائيل موجودة أيضًا في قاعدة البيانات الغير المحمية. تسمح المعلومات المتوفرة حاليًا لأي شخص بالتعقب السلس للحسابات المخترقة ، حيث أن إحداثيات نظام تحديد المواقع (GPS) تعرض الموقع الجغرافي لحامل الجهاز في الوقت الحالي الفعلي. وهذا يعني أنه من الضروري لجميع المستخدمين الحاليين التوقف عن استخدام تطبيق “دليل” ، وإلغاء تثبيته من أجهزتهم. كما هو واضح في قاعدة البيانات القابلة للوصول ، تم مسح المستخدمين السابقين ، وفقط الحسابات النشطة للمستخدمين الحاليين  لا يزال يتم تسجيلها في قاعدة البيانات.  هذا يدل على أن قاعدة البيانات المفتوحة متصلة بخادم “التشغيل الرئيسي” ، والحصول على التحديثات اليومية وتحصي حاليًا أكثر من 585 غيغابايت من البيانات.

كما قال ران لوكار في حديثه مع موقع زي دي نت ZDNet  ان في الشهر الماضي وحده ، كان لدى تطبيق “دليل”  حوالي  208،000  مستخدم جديد قامو بالتسجيل  ، لذلك كل شيء يعمل كما لو أن لايوجد اي خطأ. في الواقع ، اكتشف الباحث أنه في مرحلة ما ، قام أحد المهاجمين بالوصول إلى قاعدة البيانات وشرع في تشفير بعض البيانات. لم يلاحظ مطورو التطبيق هذا الخرق ، ولا رسالة طلب الفدية التي تركها المهاجم. بشكل مميز ، استمر مطورو التطبيق في استخدام نفس قاعدة البيانات لتخزين بيانات المستخدمين الجدد  وسجلات النشاطات ، مما يسمح لهجوم مماثل في المستقبل. لا يهم ما إذا كان مطورو تطبيق “دليل”  غير مسؤولين أو غير كفؤين أو لم يتركوا ببساطة مشروعهم في وضع “القيادة الالية” , فالنقطة الأساسية هي إعلام مستخدمي “دليل” بحقيقة أن بيانات موقعهم الجغرافي بالإضافة إلى معلومات أخرى شديدة الحساسية ، متاحة بشكل مفتوح لأي شخص في الوقت الحالي الفعلي ، وأنهم بحاجة إلى التوقف عن استخدام التطبيق على الفور.

 

 

المصدر:

https://www.technadu.com/dalil-caller-id-app-exposes-5-million-users/60394/

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: