Dalil是一款類似於Truecaller的智能電話本應用程序，但僅限於沙特和其他阿拉伯地區用戶。由於該應用所使用的MongoDB數據庫可以在不輸入密碼的情況下在線訪問，導致用戶數據持續洩露一周時間。該漏洞由安全研究人員Ran Locar和Noam Rotem發現，在數據庫中包含了這款APP的所有數據，從用戶個人詳細信息到活動日誌。

外媒ZDNet對樣本進行審查之後，發現該數據庫中包括以下信息

● 用戶手機號碼

● 應用註冊數據（完整姓名、電子郵件地址、Viber賬號、性別等等）

● 設備信息（生產日期和型號、序列號、IMEI、MAC地址、SIM號碼、系統版本等等）

● 電信運營商細節

● GPS坐標（不適用於所有用戶）

● 個人通話詳情和號碼搜索

基於與每個條目相關聯的國家/地區代碼，數據庫中包含的大多數數據屬於沙特用戶，此外還有少部分用戶來自埃及，阿聯酋，歐洲甚至一些以色列/巴勒斯坦人。顯然這些數據非常的敏感，甚至可以通過GPS坐標數據進行跟踪。

數據庫仍然暴露大約585.7GB的信息。Locar說每天都會添加新記錄，這意味著這是應用程序的生產服務器，而不是廢棄的測試系統或冗餘備份。研究人員告訴ZDNet，僅在上個月就已經註冊了大約208,000個新的獨特電話號碼和4400萬個應用事件根據Play商城顯示的APP信息，Dalil的下載次數已經超過500萬。