Millionen von Benutzerdaten sind durch falsch konfigurierte Firebase-Backends durchgesickert, wodurch Klartext-Passwörter zurückbleiben und besser öffentlich sichtbar sind.
Millionen von Benutzerdaten sind aufgrund von Fehlkonfigurationen durchgesickert Feuerbasis Backends, laut einem Bericht von Appthorität. Aufgrund einer Fehlkonfiguration wurden rund 113 GB Daten aus 2.271 Datenbanken öffentlich zugänglich gemacht. Firebase ist ein Backend-as-a-Service-Angebot von Google, von dem berichtet wurde, dass es das ist am schnellsten wachsendes SDK im Jahr 2017. Der Dienst erfreut sich bei den Top-Android-Entwicklern großer Beliebtheit. Es bietet Cloud-Messaging, Push-Benachrichtigungen, Datenbanken, Analysen, Werbung und vieles mehr, das Entwickler nutzen können, alles auf Basis der Hochleistungsserver von Google. Es scheint jedoch, dass viele Entwickler es missbrauchen.
Dem Bericht zufolge haben Forscher ab Januar 2018 mobile Apps gescannt, die Firebase für ihre Back-End-Funktionalität nutzen. Nach dem Scannen von etwas mehr als 2,7 Millionen iOS- und Android-Anwendungen stellten sie fest, dass etwa 28.000 davon Firebase nutzten. Etwa 3.000 dieser Apps gaben ihre Daten in einer öffentlich einsehbaren Datenbank preis, die durch Überwachung der Kommunikation der App mit einem Server gefunden werden konnte. Darüber hinaus überstieg die Gesamtzahl der Downloads dieser 3.000 Anwendungen 620 Millionen, was darauf hindeutet, dass einige sehr bekannte Anwendungen ebenfalls mögliche Täter sind. Die Arten von Daten, die durchgesickert sind, sind unten aufgeführt.
- 2,6 Millionen Klartext-Passwörter und Benutzer-IDs
- Über 4 Millionen PHI-Datensätze (Protected Health Information) (Chat-Nachrichten und Rezeptdetails)
- 25 Millionen GPS-Standortaufzeichnungen
- 50.000 Finanzunterlagen, einschließlich Bank-, Zahlungs- und Bitcoin-Transaktionen
- Über 4,5 Millionen Facebook-, LinkedIn-, Firebase- und Unternehmensdatenspeicher-Benutzertokens
Derzeit lässt sich nicht feststellen, ob auch Ihre Daten geleakt wurden. Es ist jedoch immer am sichersten, vom Schlimmsten auszugehen, sodass Sie entsprechend handeln sollten. Appthorität behauptet, sie hätten Google vor der Veröffentlichung des Berichts benachrichtigt und die Liste der betroffenen Anwendungen zusammen mit den Links zu den öffentlich einsehbaren Datenbanken bereitgestellt.
Wir können nur hoffen, dass die Liste der Anwendungen später veröffentlicht wird, da Benutzer derzeit im Unklaren darüber bleiben, ob ihre Informationen öffentlich einsehbar sind oder nicht. Auch wenn sie vermutlich vertrauenswürdig sind, werden die Augen sowohl von Google als auch von den Forschern die Daten gesehen haben. Wir empfehlen Ihnen, Ihre Passwörter vorsichtshalber zu ändern, bis wir weitere Informationen erhalten.
Quelle: Appthority
Via: Bleeping Computer