Εκατομμύρια δεδομένα χρηστών διέρρευσαν μέσω εσφαλμένων παραμέτρων υποστήριξης Firebase

σύντομο δελτίο ειδήσεων XdaNov 12, 2023

Εκατομμύρια δεδομένα χρηστών έχουν διαρρεύσει μέσω εσφαλμένων παραμέτρων υποστήριξης του Firebase, αφήνοντας κωδικούς πρόσβασης απλού κειμένου και περισσότερους δημόσια ορατούς.

Εκατομμύρια δεδομένα χρηστών έχουν διαρρεύσει λόγω εσφαλμένης διαμόρφωσης Firebase backends, σύμφωνα με έκθεση από Εφαρμογή. Περίπου 113 GB δεδομένων πάνω από 2.271 βάσεις δεδομένων εκτέθηκαν δημόσια ως αποτέλεσμα λανθασμένης διαμόρφωσης. Το Firebase είναι μια προσφορά Backend-as-a-Service από την Google, η οποία αναφέρθηκε ότι είναι η το ταχύτερα αναπτυσσόμενο SDK το 2017. Η υπηρεσία είναι εξαιρετικά δημοφιλής μεταξύ των κορυφαίων προγραμματιστών Android. Παρέχει ανταλλαγή μηνυμάτων στο cloud, ειδοποιήσεις push, βάσεις δεδομένων, αναλυτικά στοιχεία, διαφημίσεις και πολλά άλλα που μπορούν να χρησιμοποιήσουν οι προγραμματιστές, όλα με την υποστήριξη των διακομιστών υψηλής απόδοσης της Google. Ωστόσο, φαίνεται ότι πολλοί προγραμματιστές το κάνουν κατάχρηση.

Σύμφωνα με την έκθεση, ξεκινώντας τον Ιανουάριο του 2018, οι ερευνητές σάρωσαν εφαρμογές για κινητά που χρησιμοποιούν το Firebase για τη λειτουργικότητά τους back-end. Μετά από σάρωση λίγο πάνω από 2,7 εκατομμύρια εφαρμογές iOS και Android, διαπίστωσαν ότι περίπου 28 χιλιάδες από αυτές χρησιμοποιούσαν το Firebase. Από αυτές τις εφαρμογές, περίπου 3.000 διέρρευαν τα δεδομένα τους σε μια δημόσια βάση δεδομένων που μπορούσε να βρεθεί παρακολουθώντας την επικοινωνία της εφαρμογής με έναν διακομιστή. Επιπλέον, οι συνολικές λήψεις αυτών των 3.000 εφαρμογών ξεπέρασαν τα 620 εκατομμύρια, υποδηλώνοντας ότι ορισμένες εφαρμογές πολύ υψηλού προφίλ είναι επίσης πιθανοί παραβάτες. Οι τύποι δεδομένων που διέρρευσαν είναι παρακάτω.

  • 2,6 εκατομμύρια κωδικοί πρόσβασης απλού κειμένου και αναγνωριστικά χρηστών
  • 4 εκατομμύρια+ εγγραφές PHI (Προστατευμένες Πληροφορίες Υγείας) (μηνύματα συνομιλίας και λεπτομέρειες συνταγών)
  • 25 εκατομμύρια εγγραφές τοποθεσίας GPS
  • 50 χιλιάδες οικονομικά αρχεία συμπεριλαμβανομένων τραπεζικών συναλλαγών, πληρωμών και συναλλαγών Bitcoin
  • 4,5 εκατομμύρια+ διακριτικά χρηστών Facebook, LinkedIn, Firebase και εταιρικών καταστημάτων δεδομένων

Προς το παρόν, δεν υπάρχει τρόπος να διαπιστωθεί εάν τα δεδομένα σας έχουν επίσης διαρρεύσει, αλλά είναι πάντα ασφαλέστερο να υποθέσετε το χειρότερο, επομένως θα πρέπει να ενεργήσετε ανάλογα. Εφαρμογή ισχυρίζεται ότι ειδοποίησε την Google πριν από τη δημοσίευση της αναφοράς, παρέχοντας τη λίστα των επηρεαζόμενων εφαρμογών μαζί με τους συνδέσμους προς τις βάσεις δεδομένων με δυνατότητα δημόσιας προβολής.

Μπορούμε μόνο να ελπίζουμε ότι η λίστα των εφαρμογών θα κυκλοφορήσει αργότερα, καθώς αυτή τη στιγμή οι χρήστες έχουν μείνει στο σκοτάδι ως προς το αν οι πληροφορίες τους είναι δημόσια ορατές ή όχι. Αν και πιθανώς αξιόπιστο, τα μάτια τόσο από την Google όσο και από τους ερευνητές θα έχουν δει τα δεδομένα. Συνιστούμε να αλλάξετε τους κωδικούς πρόσβασής σας προληπτικά μέχρι να μάθουμε περισσότερες πληροφορίες.

Πηγή: Appthority

Μέσω: Bleeping Computer