A aplicação turca Quran Kuran expôs mais de 3,6 milhões de registos de dados altamente sensíveis que poderiam ter sido utilizados para vigilância não autorizada.

No dia 15 de agosto, a equipa de investigação da Cybernews descobriu um servidor Elasticsearch desprotegido que expunha mais de 3,6 milhões de registos de dados extremamente sensíveis a qualquer pessoa na Internet.

Os dados foram atribuídos a utilizadores da aplicação Quran Kuran desenvolvida pela Sigma Telecom, uma empresa de telecomunicações sediada em Istambul.

A aplicação, descarregada mais de 1 milhão de vezes a partir da Google Play Store, ajuda os utilizadores a estudar, ler e aprender o Alcorão, o livro sagrado muçulmano, apoiando simultaneamente as práticas de oração.

Que dados foram divulgados?

• Dados geográficos
• Identificadores de dispositivos e redes
• Endereços MAC – um número hexadecimal de 12 dígitos atribuído a cada dispositivo ligado à rede
• Endereços IP
• Números de série do SIM
• Informações do operador
• Detalhes da aplicação

Qual a importância da fuga de informação?

Os dados expostos continham informações pessoais e técnicas pormenorizadas, o que os torna altamente sensíveis e passíveis de serem explorados em vários cenários. Os agentes maliciosos podem utilizar as informações divulgadas para roubo de identidade e outras formas de fraude cibernética.

Além disso, a fuga de dados sensíveis pode ameaçar a privacidade dos utilizadores. Deixar públicos os dados geográficos, os números de série do SIM e os identificadores de rede torna a comunidade religiosa extremamente vulnerável à vigilância e ao rastreio não autorizado.

“Uma vez que os SSID WIFI estão presentes, os agentes de ameaças podem encontrar os locais de residência dos utilizadores. Entretanto, os números de série do SIM podem ser utilizados abusivamente para rastrear a localização dos utilizadores da aplicação. Por exemplo, durante protestos, onde é comum intercetar o tráfego móvel”, afirmam os investigadores da Cybernews.

Isto é especialmente preocupante, uma vez que não é a primeira vez que a comunidade muçulmana é colocada em risco devido a dados recolhidos por aplicações de oração.

Em 2020, as notícias revelaram que o governo federal dos EUA comprou dados de localização de telemóveis recolhidos de aplicações de oração populares utilizadas por milhões de muçulmanos em todo o mundo.

“A recolha de dados sobre utilizadores de aplicações muçulmanas em todo o mundo é uma séria ameaça à privacidade e à liberdade religiosa”, afirmou na altura a União Americana das Liberdades Civis (ACLU).

“A CCPA e o GDPR consideram informações como as crenças religiosas de uma pessoa como informações pessoais altamente sensíveis. Está na mesma categoria de sensibilidade que os dados de saúde, os dados financeiros, o historial criminal e os passaportes, uma vez que os grupos opositores têm usado historicamente essas informações para discriminação e violência”, acrescentaram os investigadores da Cybernews.

A Cybernews contactou os criadores do Quran Kuran e o acesso aos dados dos utilizadores foi assegurado. Ainda não foi recebido um comentário oficial.

Fonte: Cybernews