Les données de millions d'utilisateurs ont été divulguées via des backends Firebase mal configurés, laissant les mots de passe en clair et plus visibles publiquement.
Des millions de données d'utilisateurs ont été divulguées en raison d'une mauvaise configuration Base de feu backends, selon un rapport de Apphorité. Environ 113 Go de données réparties sur 2 271 bases de données ont été exposées publiquement à la suite d'une mauvaise configuration. Firebase est une offre Backend-as-a-Service de Google qui serait la SDK à la croissance la plus rapide en 2017. Le service est extrêmement populaire parmi les meilleurs développeurs Android. Il fournit une messagerie cloud, des notifications push, des bases de données, des analyses, des publicités et bien plus encore que les développeurs peuvent utiliser, le tout alimenté par les serveurs hautes performances de Google. Cependant, il semble que de nombreux développeurs en abusent.
Selon le rapport, à partir de janvier 2018, les chercheurs ont analysé les applications mobiles qui utilisent Firebase pour leurs fonctionnalités back-end. Après avoir analysé un peu plus de 2,7 millions d'applications iOS et Android, ils ont constaté qu'environ 28 000 d'entre elles utilisaient Firebase. Parmi ces applications, quelque 3 000 divulguaient leurs données dans une base de données accessible au public et pouvant être trouvée en surveillant la communication de l'application avec un serveur. De plus, le nombre total de téléchargements de ces 3 000 applications a dépassé 620 millions, ce qui suggère que certaines applications très médiatisées sont également des contrevenants potentiels. Les types de données qui ont été divulguées sont ci-dessous.
- 2,6 millions de mots de passe et d'identifiants utilisateur en clair
- Plus de 4 millions d’enregistrements PHI (Protected Health Information) (messages de chat et détails des ordonnances)
- 25 millions d'enregistrements de localisation GPS
- 50 000 dossiers financiers, y compris les transactions bancaires, de paiement et Bitcoin
- Plus de 4,5 millions de jetons utilisateur Facebook, LinkedIn, Firebase et les magasins de données d'entreprise
À l’heure actuelle, il n’existe aucun moyen de savoir si vos données ont également été divulguées, mais il est toujours plus sûr de supposer le pire et vous devez donc agir en conséquence. Apphorité affirme avoir informé Google avant de publier le rapport, fournissant la liste des applications concernées ainsi que les liens vers les bases de données accessibles au public.
Nous ne pouvons qu'espérer que la liste des applications sera publiée plus tard, car actuellement les utilisateurs ne savent pas si leurs informations sont visibles publiquement ou non. Bien que vraisemblablement dignes de confiance, les yeux de Google et des chercheurs auront vu les données. Nous vous recommandons de modifier vos mots de passe par mesure de précaution jusqu'à ce que nous obtenions plus d'informations.
Source: Apphority
Via: Ordinateur qui bipe