Milijuni korisničkih podataka procurili su kroz pogrešno konfigurirane Firebase pozadine

Xda Kratke VijestiNov 12, 2023
click fraud protection

Milijuni korisničkih podataka procurili su kroz pogrešno konfigurirane pozadine Firebasea, ostavljajući otvorene lozinke i više javno vidljivima.

Milijuni podataka korisnika procurili su zbog pogrešne konfiguracije Firebase pozadine, prema izvješću iz Appthority. Oko 113 GB podataka u 2271 bazi podataka javno je izloženo zbog pogrešne konfiguracije. Firebase je Googleova ponuda Backend-as-a-Service za koju se navodi da je najbrže rastući SDK u 2017. godini. Usluga je iznimno popularna među vrhunskim Android programerima. Omogućuje razmjenu poruka u oblaku, push obavijesti, baze podataka, analitiku, oglašavanje i još mnogo toga što programeri mogu koristiti, a sve pokreću Googleovi poslužitelji visokih performansi. Međutim, čini se da ga mnogi programeri zlorabe.

Prema izvješću, počevši od siječnja 2018., istraživači su skenirali mobilne aplikacije koje koriste Firebase za svoje back-end funkcije. Nakon skeniranja nešto više od 2,7 milijuna iOS i Android aplikacija, otkrili su da oko 28 tisuća njih koristi Firebase. Od tih aplikacija, oko 3000 je odavalo svoje podatke u javno vidljivu bazu podataka koja se mogla pronaći praćenjem komunikacije aplikacije s poslužiteljem. Štoviše, ukupna preuzimanja ovih 3000 aplikacija premašila su 620 milijuna, što sugerira da su i neke aplikacije visokog profila mogući prijestupnici. Vrste podataka koji su procurili navedeni su u nastavku.

  • 2,6 milijuna otvorenih lozinki i korisničkih ID-ova
  • Više od 4 milijuna PHI (zaštićenih zdravstvenih informacija) zapisa (poruke u chatu i pojedinosti o receptima)
  • 25 milijuna GPS zapisa lokacije
  • 50 tisuća financijskih zapisa uključujući bankovne, platne i Bitcoin transakcije
  • Više od 4,5 milijuna korisničkih tokena za pohranu Facebook, LinkedIn, Firebase i korporativnih podataka

Trenutačno ne postoji način da se utvrdi jesu li i vaši podaci procurili, ali uvijek je najsigurnije pretpostaviti najgore pa biste trebali djelovati u skladu s tim. Appthority tvrdi da su obavijestili Google prije objavljivanja izvješća, dajući popis pogođenih aplikacija zajedno s poveznicama na javno dostupne baze podataka.

Možemo se samo nadati da će lista aplikacija biti objavljena kasnije, budući da trenutno korisnici nemaju pojma jesu li njihove informacije javno vidljive ili ne. Iako su vjerojatno vjerodostojni, oči Googlea i istraživača sigurno su vidjele podatke. Preporučamo promjenu lozinki kao mjeru opreza dok ne saznamo više informacija.

Izvor: Appthority

Via: Bleeping Computer