Millioner af brugeres data lækket gennem fejlkonfigurerede Firebase-backends

Xda Nyheder KortNov 12, 2023
click fraud protection

Millioner af brugeres data er lækket gennem fejlkonfigurerede Firebase-backends, hvilket efterlader almindelige tekstadgangskoder og mere offentligt synlige.

Millioner af brugeres data er blevet lækket på grund af forkert konfigurering Firebase backends, ifølge en rapport fra Appthority. Omkring 113 GB data over 2.271 databaser blev afsløret offentligt som følge af forkert konfiguration. Firebase er et Backend-as-a-Service-tilbud fra Google, som blev rapporteret at være hurtigst voksende SDK i 2017. Tjenesten er enormt populær blandt de bedste Android-udviklere. Det giver cloud-meddelelser, push-meddelelser, databaser, analyser, annoncering og meget mere, som udviklere kan bruge, alt sammen drevet af Googles højtydende servere. Det ser dog ud til, at mange udviklere misbruger det.

Ifølge rapporten, fra januar 2018, scannede forskere mobile apps, der bruger Firebase til deres back-end-funktionalitet. Efter at have scannet lidt over 2,7 millioner iOS- og Android-applikationer fandt de ud af, at omkring 28 tusinde af disse brugte Firebase. Af disse apps lækkede omkring 3.000 deres data i en offentligt tilgængelig database, som kunne findes ved at overvåge appens kommunikation med en server. Hvad mere er, oversteg de samlede downloads af disse 3.000 applikationer 620 millioner, hvilket tyder på, at nogle meget højprofilerede applikationer også er mulige lovovertrædere. De typer data, der blev lækket, er nedenfor.

  • 2,6 millioner klartekst-adgangskoder og bruger-id'er
  • 4 millioner+ PHI (Protected Health Information) registreringer (chatbeskeder og receptdetaljer)
  • 25 millioner GPS-positionsregistreringer
  • 50 tusinde finansielle poster inklusive bank-, betalings- og Bitcoin-transaktioner
  • 4,5 millioner+ brugertokens til Facebook, LinkedIn, Firebase og virksomhedsdatalager

På nuværende tidspunkt er der ingen måde at sige, om dine data også er blevet lækket, men det er altid sikrest at antage det værste, så du bør handle i overensstemmelse hermed. Appthority hævder, at de underrettede Google før offentliggørelsen af ​​rapporten og leverede listen over berørte applikationer sammen med links til de offentligt synlige databaser.

Vi kan kun håbe på, at listen over applikationer vil blive frigivet senere, da brugerne i øjeblikket er i tvivl om, hvorvidt deres oplysninger er offentligt tilgængelige eller ej. Selvom det formentlig er troværdigt, vil øjne fra både Google og forskerne have set dataene. Vi anbefaler, at du ændrer dine adgangskoder som en sikkerhedsforanstaltning, indtil vi finder ud af mere information.

Kilde: Appthority

Via: Blødende computer