点击上方蓝字关注「魔都安全札记」

   土耳其应用《古兰经库兰》泄露了超过360万条高度敏感的数据记录，这些数据可能被用于未经授权的监控。

8月15日，Cybernews研究团队发现了一个未受保护的Elasticsearch服务器，该服务器将超过360万条极其敏感的数据记录暴露给互联网上的任何人。这些数据被归因于由Sigma Telecom开发的《古兰经库兰》应用的用户，Sigma Telecom是一家总部位于伊斯坦布尔的电信公司。

这款应用从谷歌Play商店下载超过100万次，帮助用户学习、阅读和了解《古兰经》——穆斯林的圣书，同时支持祈祷实践。

泄露了哪些数据？

• 1、地理位置数据
• 2、设备和网络标识符
• 3、MAC地址 - 每个连接到网络的设备被分配的12位十六进制数字
• 4、IP地址 
• 5、SIM卡序列号 
• 6、运营商信息 
• 7、应用详情

《古兰经库兰》数据泄露为何重要？

泄露的数据包含了详细的个人和技术信息，使其变得高度敏感，并可能在多种场景中被利用。恶意行为者可以利用泄露的信息进行身份盗窃和其他形式的网络诈骗。此外，敏感信息的泄露可能会威胁到用户的隐私。将地理位置数据、SIM卡序列号和网络标识符公之于众，使得宗教社区极易受到监控和未经授权的追踪。“由于WIFI网络名称（SSIDs）的存在，威胁行为者可以找到用户的居住地。”

与此同时，SIM卡序列号可能被滥用来追踪应用用户的地理位置。例如，在抗议活动中，截获手机通信是常见的行为，”Cybernews的研究人员说。鉴于这已经不是穆斯林社区第一次因为祈祷应用收集的数据而面临风险，这一点尤其令人担忧。2020年，新闻报道揭露美国联邦政府购买了从全球数百万穆斯林使用的流行祈祷应用中收集的手机位置数据。“在全球范围内收集穆斯林应用用户的数据是对隐私和宗教自由的严重威胁，”美国公民自由联盟（ACLU）当时表示。“CCPA（加州消费者隐私法案）和GDPR（通用数据保护条例）将个人的宗教信仰等信息视为高度敏感的个人信息。它与健康数据、财务数据、犯罪记录和护照等信息处于同一敏感性类别，因为历史上对立团体曾利用这些信息进行歧视和暴力行为，”Cybernews的研究人员补充道。Cybernews联系了《古兰经库兰》的开发者，用户数据的访问权限已得到保护。目前尚未收到官方评论。

披露时间线：

发现：8月15日

初次披露：9月6日

后续邮件：9月13日、20日、27日，10月4日、10月10日

向CERT披露：10月17日

关闭：11月5日

在国内《GB∕T 35273-2020 信息安全技术 个人信息安全规范》中宗教信仰也是被定义为个人敏感信息。

四部委印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知

规定全文地址：https://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

   国内APP厂商搜集这些字段信息的也不少，用于风控、个性化推荐啥的，总之规范使用，保护好用户信息。

 -THE END-

原文来自cybernews.com作者:Paulina Okunytė

https://cybernews.com/security/sigma-telecom-data-leak/

知识星球

星球里有什么？

各类监管通知，法律法规安全标准整理，各类等级保护、安全检查checklist、培训ppt模版、漏洞预警、漏洞poc,以及其他乱七八糟的的好玩的东西 定期更新：

我会坚持更新公众号和知识星球，希望能跟大家一起不断提升自我，结伴前行。可领优惠券或私我（限时免费）加入

原文始发于微信公众号（魔都安全札记）：【海外资讯】数据泄露可能已经暴露了数百万穆斯林信徒的位置