Milioni di dati di utenti sono trapelati attraverso backend Firebase configurati in modo errato

Breve Notizia Di XdaNov 12, 2023

Milioni di dati di utenti sono trapelati attraverso backend Firebase configurati in modo errato, lasciando password in chiaro e più visualizzabili pubblicamente.

Milioni di dati di utenti sono trapelati a causa di errori di configurazione Base di fuoco backend, secondo un rapporto di Approfondimento. Circa 113 GB di dati provenienti da 2.271 database sono stati esposti pubblicamente a causa di una configurazione errata. Firebase è un'offerta Backend-as-a-Service di Google che è stata segnalata come la SDK in più rapida crescita nel 2017. Il servizio è estremamente popolare tra i migliori sviluppatori Android. Fornisce messaggistica cloud, notifiche push, database, analisi, pubblicità e molto altro ancora che gli sviluppatori possono utilizzare, il tutto gestito dai server ad alte prestazioni di Google. Tuttavia, sembra che molti sviluppatori ne stiano abusando.

Secondo il rapporto, a partire da gennaio 2018, i ricercatori hanno scansionato app mobili che utilizzano Firebase per le loro funzionalità back-end. Dopo aver scansionato poco più di 2,7 milioni di applicazioni iOS e Android, hanno scoperto che circa 28mila di queste utilizzavano Firebase. Di queste app, circa 3.000 diffondevano i propri dati in un database visualizzabile pubblicamente che poteva essere trovato monitorando la comunicazione dell'app con un server. Inoltre, il totale dei download di queste 3.000 applicazioni ha superato i 620 milioni, suggerendo che anche alcune applicazioni di altissimo profilo sono possibili trasgressori. I tipi di dati trapelati sono riportati di seguito.

  • 2,6 milioni di password e ID utente in testo semplice
  • Oltre 4 milioni di record PHI (Informazioni sanitarie protette) (messaggi chat e dettagli sulle prescrizioni)
  • 25 milioni di record di posizione GPS
  • 50mila documenti finanziari tra cui transazioni bancarie, di pagamento e Bitcoin
  • Oltre 4,5 milioni di token utente di Facebook, LinkedIn, Firebase e archivio dati aziendale

Al momento, non c'è modo di sapere se anche i tuoi dati sono stati trapelati, ma è sempre più prudente presumere il peggio, quindi dovresti agire di conseguenza. Approfondimento afferma di aver informato Google prima di pubblicare il rapporto, fornendo l'elenco delle applicazioni interessate insieme ai collegamenti ai database visualizzabili pubblicamente.

Possiamo solo sperare che l'elenco delle applicazioni venga pubblicato in seguito, poiché attualmente gli utenti non sanno se le loro informazioni sono visibili pubblicamente o meno. Sebbene presumibilmente affidabili, gli occhi sia di Google che dei ricercatori avranno visto i dati. Ti consigliamo di modificare le tue password come precauzione finché non avremo maggiori informazioni.

Fonte: Appthority

Via: Computer che suona