大规模数据泄露可能已暴露数百万穆斯林的在线位置

土耳其应用程序 Quran Kuran 已经泄露了超过 360 万条高度敏感的数据记录，这些数据可能被用于未经授权的监控。

8 月 15 日，Cybernews 研究团队发现了一个未受保护的 Elasticsearch 服务器，向互联网上的任何人暴露了超过 360 万条极其敏感的数据记录。

这些数据归因于伊斯坦布尔电信公司 Sigma Telecom 开发的 Quran Kuran 应用程序的用户。

该应用程序从 Google Play 商店下载了超过 100 万次，帮助用户学习、阅读和学习穆斯林圣书《古兰经》，同时支持祈祷练习。

哪些数据被泄露了？

为什么《古兰经》泄漏事件很重要？

暴露的数据包含详细的个人和技术信息，使其高度敏感，并可能在多种场景中被利用。恶意行为者可能会利用泄露的信息进行身份盗窃和其他形式的网络欺诈。

此外，泄露敏感细节可能会威胁到用户的隐私。公开地理数据、SIM 序列号和网络标识符会使宗教社区极易受到监视和未经授权的跟踪。

“由于存在 WIFI SSID，威胁行为者可以找到用户的居住地。

同时，SIM 序列号可能被滥用来跟踪应用程序用户的位置。例如，在抗议期间，拦截蜂窝流量是很常见的，“Cybernews 研究人员说。

鉴于这不是穆斯林社区第一次因祈祷应用程序收集的数据而处于危险之中，这一点尤其令人担忧。

2020 年，新闻报道显示，美国联邦政府购买了从全球数百万穆斯林使用的流行祈祷应用程序中收集的手机位置数据。

“收集全球穆斯林应用程序用户的数据是对隐私和宗教自由的严重威胁，”美国公民自由联盟（ACLU）当时表示。

“CCPA 和 GDPR 将个人宗教信仰等信息视为高度敏感的个人信息。它与健康数据、财务数据、犯罪历史和护照属于同一敏感类别，因为对立团体历来将这些信息用于歧视和暴力，“Cybernews 研究人员补充道。

Cybernews 联系了 Quran Kuran 开发人员，对用户数据的访问得到了保护。尚未收到官方评论。

发现：8 月 15 日
初步披露：9 月 6 日
后续电子邮件：9 月 13 日、20 日、27 日、10 月 4 日、10 月 10 日
向 CERT 披露：10 月 17 日
关闭时间：11 月 5 日

原文地址：https://cybernews.com/security/sigma-telecom-data-leak/