Felhasználók millióinak adatai szivárogtak ki a rosszul konfigurált Firebase-háttérrendszereken keresztül, így az egyszerű szöveges jelszavak és a nyilvánosan megtekinthetőbbek maradtak.
Felhasználók millióinak adatai szivárogtak ki a rosszul konfigurált adatok miatt Firebase forrásból származó jelentése szerint Alkalmasság. Körülbelül 113 GB adat több mint 2271 adatbázisból került nyilvánossá a rosszul konfigurált adatok miatt. A Firebase a Google Backend-as-a-Service ajánlata, amely a jelentések szerint a leggyorsabban növekvő SDK 2017-ben. A szolgáltatás rendkívül népszerű a legjobb Android fejlesztők körében. Felhőalapú üzenetküldést, push értesítéseket, adatbázisokat, elemzéseket, hirdetéseket és még sok mást kínál, amit a fejlesztők használhatnak, mindezt a Google nagy teljesítményű szerverei hajtják. Úgy tűnik azonban, hogy sok fejlesztő visszaél vele.
A jelentés szerint 2018 januárjától a kutatók olyan mobilalkalmazásokat vizsgáltak, amelyek a Firebase-t használják háttérfunkcióikhoz. Valamivel több mint 2,7 millió iOS és Android alkalmazás átvizsgálása után azt találták, hogy ezek közül körülbelül 28 ezer használt Firebase-t. Ezek közül az alkalmazások közül mintegy 3000 szivárogtatta ki adatait egy nyilvánosan megtekinthető adatbázisban, amely az alkalmazás szerverrel folytatott kommunikációjának figyelésével megtalálható. Sőt, ennek a 3000 alkalmazásnak a letöltése meghaladta a 620 milliót, ami arra utal, hogy néhány igen nagy horderejű alkalmazás is lehetséges jogsértő. A kiszivárgott adatok típusai az alábbiakban találhatók.
- 2,6 millió egyszerű szöveges jelszó és felhasználói azonosító
- Több mint 4 millió PHI (Protected Health Information) rekord (csevegőüzenetek és receptek adatai)
- 25 millió GPS helyrekord
- 50 ezer pénzügyi nyilvántartás, beleértve a banki, fizetési és Bitcoin tranzakciókat
- Több mint 4,5 millió Facebook, LinkedIn, Firebase és vállalati adattároló felhasználói token
Jelenleg nem lehet megállapítani, hogy az Ön adatai is kiszivárogtak-e, de mindig a legbiztonságosabb feltételezni a legrosszabbat, így ennek megfelelően kell cselekednie. Alkalmasság azt állítja, hogy a jelentés közzététele előtt értesítették a Google-t, megadva az érintett alkalmazások listáját, valamint a nyilvánosan megtekinthető adatbázisokra mutató hivatkozásokat.
Csak remélni tudjuk, hogy az alkalmazások listája később kerül kiadásra, mivel jelenleg a felhasználók homályban vannak, hogy az információik nyilvánosak-e vagy sem. Bár feltehetően megbízhatóak, a Google és a kutatók szeme is látta az adatokat. Javasoljuk, hogy elővigyázatosságból változtassa meg jelszavát, amíg meg nem találjuk a további információkat.
Forrás: Apphority
Forrás: Bleeping Computer