App per il caller ID dimentica online un database con dati su oltre 200.000 utenti

Questa storia interessa prevalentemente gli utenti in Arabia Saudita, ma potrebbe accadere ovunque.

Un’app per la gestione del caller ID, chiamata Dalil e scaricata oltre 5 milioni di volte, ha lasciato online un database MongoDB aperto, dove chiunque può entrare e trovare dati su circa 208.000 utenti.

A quanto pare il database è tuttora in produzione, poiché i dati degli utenti dell’app continuano a essere scritti e aggiornati. Dati riservati come il numero di cellulare, login, nome, e-mail, chiamate in entrata e in uscita, dettagli sullo smartphone (IMEI, indirizzo MAC, ecc), coordinate di localizzazione GPS.

Uno degli aspetti più preoccupanti è che il team di sviluppo dell’app (anche se il sospetto è che vi sia un unico sviluppatore) è stato più volte contattato, ma non ha mai dato segnali di risposta, né di essersi accorto della falla di sicurezza.

Il problema delle app la cui sicurezza viene gestita male dal team di sviluppo purtroppo è molto attuale. Numerose app sono spesso manutenute da un unico sviluppatore, e nessuno è in grado di valutare il livello di sicurezza del software – a meno di un’analisi approfondita – o il livello di reattività degli sviluppatori ai bug o ai problemi di sicurezza che prima o poi saltano fuori, se non dopo incidenti come questo.

Nel caso in questione non si può neanche parlare di abandonware, ovvero quel software pubblicato e poi lasciato a se stesso, perché l’app è stata aggiornata il 5 Febbraio – non molto tempo fa. Eppure è dal 26 Febbraio che i ricercatori che hanno scoperto il db aperto, Ran Locar e Noam Rotem, stanno provando a contattare lo sviluppatore, senza successo.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.