Jutaan data pengguna bocor melalui backend Firebase yang salah dikonfigurasi

Singkat Berita XdaNov 12, 2023
click fraud protection

Jutaan data pengguna telah bocor melalui backend Firebase yang salah dikonfigurasi, sehingga membuat sandi teks biasa dan lebih dapat dilihat oleh publik.

Jutaan data pengguna telah bocor karena kesalahan konfigurasi basis api backend, menurut laporan dari Kesesuaian. Sekitar 113 GB data di 2.271 database terekspos ke publik karena kesalahan konfigurasi. Firebase adalah penawaran Backend-as-a-Service oleh Google yang dilaporkan sebagai SDK dengan pertumbuhan tercepat pada tahun 2017. Layanan ini sangat populer di kalangan pengembang Android papan atas. Ini menyediakan perpesanan cloud, pemberitahuan push, basis data, analitik, periklanan, dan banyak lagi yang dapat dimanfaatkan oleh pengembang, semuanya didukung oleh server Google berkinerja tinggi. Namun rupanya banyak developer yang menyalahgunakannya.

Menurut laporan tersebut, mulai bulan Januari 2018, para peneliti memindai aplikasi seluler yang memanfaatkan Firebase untuk fungsi back-endnya. Setelah memindai lebih dari 2,7 juta aplikasi iOS dan Android, mereka menemukan bahwa sekitar 28 ribu di antaranya menggunakan Firebase. Dari aplikasi-aplikasi tersebut, sekitar 3.000 diantaranya membocorkan datanya ke dalam database yang dapat dilihat secara publik dan dapat ditemukan dengan memantau komunikasi aplikasi dengan server. Terlebih lagi, total unduhan dari 3.000 aplikasi ini melebihi 620 juta, menunjukkan bahwa beberapa aplikasi terkenal juga berpotensi melakukan pelanggaran. Jenis data yang bocor ada di bawah ini.

  • 2,6 juta kata sandi teks biasa dan ID pengguna
  • 4 juta+ catatan PHI (Informasi Kesehatan yang Dilindungi) (pesan obrolan dan detail resep)
  • 25 juta catatan lokasi GPS
  • 50 ribu catatan keuangan termasuk transaksi perbankan, pembayaran, dan Bitcoin
  • 4,5 juta+ token pengguna Facebook, LinkedIn, Firebase, dan penyimpanan data perusahaan

Saat ini, tidak ada cara untuk mengetahui apakah data Anda juga telah bocor, namun yang paling aman adalah mengasumsikan kemungkinan terburuk sehingga Anda harus mengambil tindakan yang sesuai. Kesesuaian mengklaim bahwa mereka memberi tahu Google sebelum memublikasikan laporan tersebut, dengan memberikan daftar aplikasi yang terpengaruh beserta tautan ke database yang dapat dilihat publik.

Kami hanya dapat berharap bahwa daftar aplikasi tersebut akan dirilis nanti, karena saat ini pengguna tidak mengetahui apakah informasi mereka dapat dilihat publik atau tidak. Meskipun mungkin dapat dipercaya, baik Google maupun para peneliti telah melihat datanya. Kami menyarankan untuk mengubah kata sandi Anda sebagai tindakan pencegahan sampai kami menemukan informasi lebih lanjut.

Sumber: Appthority

Melalui: Komputer Tidur