Questa storia interessa prevalentemente gli utenti in Arabia Saudita, ma potrebbe accadere ovunque.
Un’app per la gestione del caller ID, chiamata Dalil e scaricata oltre 5 milioni di volte, ha lasciato online un database MongoDB aperto, dove chiunque può entrare e trovare dati su circa 208.000 utenti.
A quanto pare il database è tuttora in produzione, poiché i dati degli utenti dell’app continuano a essere scritti e aggiornati. Dati riservati come il numero di cellulare, login, nome, e-mail, chiamate in entrata e in uscita, dettagli sullo smartphone (IMEI, indirizzo MAC, ecc), coordinate di localizzazione GPS.
Uno degli aspetti più preoccupanti è che il team di sviluppo dell’app (anche se il sospetto è che vi sia un unico sviluppatore) è stato più volte contattato, ma non ha mai dato segnali di risposta, né di essersi accorto della falla di sicurezza.
Il problema delle app la cui sicurezza viene gestita male dal team di sviluppo purtroppo è molto attuale. Numerose app sono spesso manutenute da un unico sviluppatore, e nessuno è in grado di valutare il livello di sicurezza del software – a meno di un’analisi approfondita – o il livello di reattività degli sviluppatori ai bug o ai problemi di sicurezza che prima o poi saltano fuori, se non dopo incidenti come questo.
Nel caso in questione non si può neanche parlare di abandonware, ovvero quel software pubblicato e poi lasciato a se stesso, perché l’app è stata aggiornata il 5 Febbraio – non molto tempo fa. Eppure è dal 26 Febbraio che i ricercatori che hanno scoperto il db aperto, Ran Locar e Noam Rotem, stanno provando a contattare lo sviluppatore, senza successo.
