土耳其应用程序《古兰经》泄露了超过 360 万条高度敏感数据记录，这些数据可能被用于未经授权的监视。

8 月 15 日，研究团队发现一个不受保护的 Elasticsearch 服务器向互联网上的任何人暴露了超过 360 万条极其敏感的数据记录。

这些数据来自伊斯坦布尔电信公司 Sigma Telecom 开发的《古兰经库兰》应用程序的用户。

该应用程序从 Google Play 商店下载量超过 100 万次，可帮助用户学习、阅读和掌握穆斯林圣书《古兰经》，同时支持祈祷活动。

哪些数据被泄露了？

• 地理数据
• 设备和网络标识符
• MAC 地址——分配给连接到网络的每个设备的 12 位十六进制数字
• IP 地址
• SIM 序列号
• 承运商信息
• 应用详细信息

《古兰经》泄露为何如此重要？

泄露的数据包含详细的个人信息和技术信息，因此具有高度敏感性，可能在多种情况下被利用。恶意行为者可以利用泄露的信息进行身份盗窃和其他形式的网络欺诈。

此外，泄露敏感信息可能会威胁用户的隐私。将地理数据、SIM 序列号和网络标识符公开，会使宗教界极易受到监视和未经授权的跟踪。

“由于存在 WIFI SSID，威胁行为者可以找到用户的居住地。

同时，SIM 卡序列号可能会被滥用来追踪应用程序用户的位置。例如在抗议期间，拦截手机流量是很常见的，”研究人员表示。

这尤其令人担忧，因为这并不是穆斯林社区第一次因祈祷应用程序收集的数据而面临风险。

2020 年，新闻报道披露，美国联邦政府购买了全球数百万穆斯林使用的流行祈祷应用程序收集的手机位置数据。

美国公民自由联盟（ACLU）当时表示：“收集全球穆斯林应用程序用户的数据对隐私和宗教自由构成了严重威胁。”

“CCPA 和 GDPR 将个人宗教信仰等信息视为高度敏感的个人信息。它与健康数据、财务数据、犯罪记录和护照属于同一敏感类别，因为反对团体历来会利用此类信息进行歧视和暴力，” 研究人员补充道。

研究人员联系了《古兰经》的开发者，并确保了对用户数据的访问。目前尚未收到官方评论。

• 披露时间表
• 发现日期： 8 月 15 日
• 首次披露日期： 9 月 6 日
• 后续电子邮件： 9 月 13 日、20 日、27 日、10 月 4 日、10 月 10 日
• 向 CERT 披露日期： 10 月 17 日
• 关闭日期： 11 月 5 日