Miljoonien käyttäjien tiedot ovat vuotaneet väärin määritettyjen Firebase-taustaohjelmien kautta, mikä jättää pelkät salasanat ja enemmän julkisesti katseltaviksi.
Miljoonien käyttäjien tiedot ovat vuotaneet virheellisten asetusten vuoksi Firebase taustat, raportin mukaan Sopivuus. Noin 113 Gt dataa yli 2 271 tietokannasta paljastettiin julkisesti virheellisten määritysten vuoksi. Firebase on Googlen Backend-as-a-Service -tarjous, jonka ilmoitettiin olevan nopeimmin kasvava SDK vuonna 2017. Palvelu on erittäin suosittu Android-kehittäjien keskuudessa. Se tarjoaa pilviviestintää, push-ilmoituksia, tietokantoja, analytiikkaa, mainontaa ja paljon muuta, mitä kehittäjät voivat hyödyntää Googlen tehokkaiden palvelimien avulla. Näyttää kuitenkin siltä, että monet kehittäjät käyttävät sitä väärin.
Raportin mukaan tammikuusta 2018 alkaen tutkijat skannasivat mobiilisovelluksia, jotka käyttävät Firebasea taustatoimintoihinsa. Tutkittuaan hieman yli 2,7 miljoonaa iOS- ja Android-sovellusta he havaitsivat, että noin 28 tuhatta näistä käytti Firebasea. Näistä sovelluksista noin 3 000 vuoti tietojaan julkisesti katseltavissa olevaan tietokantaan, joka löytyi seuraamalla sovelluksen viestintää palvelimen kanssa. Lisäksi näiden 3 000 sovelluksen kokonaislataukset ylittivät 620 miljoonaa, mikä viittaa siihen, että jotkin erittäin korkean profiilin sovellukset ovat myös mahdollisia rikkomuksia. Alla on kerrottu vuotaneiden tietojen tyypit.
- 2,6 miljoonaa selväkielistä salasanaa ja käyttäjätunnusta
- Yli 4 miljoonaa PHI-tietuetta (Protected Health Information) (chat-viestit ja reseptitiedot)
- 25 miljoonaa GPS-sijaintitietuetta
- 50 tuhatta taloustietoa, mukaan lukien pankki-, maksu- ja Bitcoin-tapahtumat
- Yli 4,5 miljoonaa Facebook-, LinkedIn-, Firebase- ja yritystietovaraston käyttäjätunnusta
Tällä hetkellä ei ole mahdollista kertoa, onko tietosi myös vuotanut, mutta aina on turvallisinta olettaa pahin, joten sinun tulee toimia sen mukaisesti. Sopivuus väittää, että he ilmoittivat Googlelle ennen raportin julkaisemista ja toimittivat luettelon vaikutuksen alaisista sovelluksista sekä linkit julkisesti katseltaviin tietokantoihin.
Voimme vain toivoa, että sovelluslista julkaistaan myöhemmin, sillä tällä hetkellä käyttäjät ovat jääneet hämärään sen suhteen, ovatko heidän tietonsa julkisesti nähtävissä vai eivät. Vaikka oletettavasti luotettava, niin Googlen kuin tutkijoiden silmät ovat nähneet tiedot. Suosittelemme vaihtamaan salasanasi varotoimenpiteenä, kunnes saamme lisätietoja.
Lähde: Apphority
Lähde: Bleeping Computer