गलत कॉन्फ़िगर किए गए फायरबेस बैकएंड के माध्यम से लाखों उपयोगकर्ताओं का डेटा लीक हो गया

गलत तरीके से कॉन्फ़िगर किए गए फायरबेस बैकएंड के माध्यम से लाखों उपयोगकर्ताओं का डेटा लीक हो गया है, जिससे प्लेनटेक्स्ट पासवर्ड और अधिक सार्वजनिक रूप से देखने योग्य हो गए हैं।

गलत कॉन्फ़िगरेशन के कारण लाखों यूजर्स का डेटा लीक हो गया है फायरबेस की एक रिपोर्ट के अनुसार, बैकएंड उपयुक्तता. 2,271 डेटाबेस में से लगभग 113GB डेटा ग़लत कॉन्फ़िगरेशन के परिणामस्वरूप सार्वजनिक रूप से उजागर हो गया था। फायरबेस Google द्वारा एक बैकएंड-ए-ए-सर्विस पेशकश है, जिसके बारे में बताया गया था सबसे तेजी से बढ़ने वाला एसडीके 2017 में. यह सेवा शीर्ष एंड्रॉइड डेवलपर्स के बीच बेहद लोकप्रिय है। यह क्लाउड मैसेजिंग, पुश नोटिफिकेशन, डेटाबेस, एनालिटिक्स, विज्ञापन और बहुत कुछ प्रदान करता है जिसका डेवलपर्स उपयोग कर सकते हैं, यह सब Google के उच्च-प्रदर्शन सर्वर द्वारा संचालित है। हालाँकि, ऐसा लगता है कि कई डेवलपर्स इसका दुरुपयोग कर रहे हैं।

रिपोर्ट के अनुसार, जनवरी 2018 से शोधकर्ताओं ने उन मोबाइल ऐप्स को स्कैन किया जो अपनी बैक-एंड कार्यक्षमता के लिए फायरबेस का उपयोग करते हैं। 2.7 मिलियन से कुछ अधिक आईओएस और एंड्रॉइड एप्लिकेशन को स्कैन करने के बाद, उन्होंने पाया कि इनमें से लगभग 28 हजार ने फायरबेस का उपयोग किया। उन ऐप्स में से, लगभग 3,000 अपना डेटा सार्वजनिक रूप से देखने योग्य डेटाबेस में लीक कर रहे थे, जिसे सर्वर के साथ ऐप के संचार की निगरानी करके पाया जा सकता था। इसके अलावा, इन 3,000 एप्लिकेशनों का कुल डाउनलोड 620 मिलियन से अधिक हो गया, जिससे पता चलता है कि कुछ बहुत हाई-प्रोफाइल एप्लिकेशन भी संभावित अपराधी हैं। जिस प्रकार के डेटा लीक हुए थे वे नीचे हैं।

  • 2.6 मिलियन प्लेनटेक्स्ट पासवर्ड और उपयोगकर्ता आईडी
  • 4 मिलियन से अधिक PHI (संरक्षित स्वास्थ्य सूचना) रिकॉर्ड (चैट संदेश और नुस्खे विवरण)
  • 25 मिलियन जीपीएस स्थान रिकॉर्ड
  • बैंकिंग, भुगतान और बिटकॉइन लेनदेन सहित 50 हजार वित्तीय रिकॉर्ड
  • 4.5 मिलियन से अधिक फेसबुक, लिंक्डइन, फायरबेस और कॉर्पोरेट डेटा स्टोर उपयोगकर्ता टोकन

फिलहाल, यह बताने का कोई तरीका नहीं है कि आपका डेटा भी लीक हुआ है या नहीं, लेकिन सबसे खराब स्थिति मान लेना हमेशा सुरक्षित होता है, इसलिए आपको उसी के अनुसार कार्य करना चाहिए। उपयुक्तता दावा है कि उन्होंने सार्वजनिक रूप से देखने योग्य डेटाबेस के लिंक के साथ प्रभावित अनुप्रयोगों की सूची प्रदान करते हुए, रिपोर्ट प्रकाशित करने से पहले Google को सूचित किया था।

हम केवल यह आशा कर सकते हैं कि एप्लिकेशन की सूची बाद में जारी की जाएगी, क्योंकि वर्तमान में उपयोगकर्ता इस बात को लेकर असमंजस में हैं कि उनकी जानकारी सार्वजनिक रूप से देखने योग्य है या नहीं। संभवतः भरोसेमंद होते हुए भी, Google और शोधकर्ताओं दोनों की नज़रों ने डेटा देखा होगा। जब तक हमें अधिक जानकारी नहीं मिल जाती, हम एहतियात के तौर पर आपके पासवर्ड बदलने की सलाह देते हैं।


स्रोत: एपथोरिटी

वाया: ब्लीपिंग कंप्यूटर