מיליוני נתונים של משתמשים דלפו דרך קונפיגורציה לא נכונה של Firebase, והותירו סיסמאות טקסט רגיל וניתנות לצפייה ציבורית יותר.
מיליוני נתונים של משתמשים דלפו בגלל הגדרות שגויות Firebase על פי דיווח מאת Appthority. כ-113 ג'יגה-בייט של נתונים מעל 2,271 מסדי נתונים נחשפו בפומבי כתוצאה מהתצורה שגויה. Firebase הוא הצעה Backend-as-a-A-Service של Google, אשר דווח כי היא SDK הצומח ביותר בשנת 2017. השירות פופולרי מאוד בקרב מפתחי האנדרואיד המובילים. הוא מספק הודעות ענן, הודעות דחיפה, מסדי נתונים, ניתוחים, פרסום ועוד הרבה יותר שמפתחים יכולים להשתמש בהם, הכל מופעל על ידי השרתים בעלי הביצועים הגבוהים של גוגל. עם זאת, נראה שמפתחים רבים עושים בו שימוש לרעה.
לפי הדו"ח, החל מינואר 2018, חוקרים סרקו אפליקציות סלולריות המשתמשות ב-Firebase לפונקציונליות האחורית שלהן. לאחר סריקה של קצת יותר מ-2.7 מיליון יישומי iOS ואנדרואיד, הם גילו שכ-28 אלף מהם השתמשו ב-Firebase. מתוך אפליקציות אלו, כ-3,000 הדליפו את הנתונים שלהם במסד נתונים הניתן לצפייה ציבורית, שניתן למצוא על ידי ניטור התקשורת של האפליקציה עם שרת. יתרה מכך, סך ההורדות של 3,000 היישומים הללו עלה על 620 מיליון, מה שמצביע על כך שכמה יישומים בעלי פרופיל גבוה הם גם עבריינים אפשריים. להלן סוגי הנתונים שהודלפו.
- 2.6 מיליון סיסמאות בטקסט רגיל ומזהי משתמש
- 4 מיליון+ רשומות PHI (מידע בריאותי מוגן) (הודעות צ'אט ופרטי מרשם)
- 25 מיליון רשומות מיקום GPS
- 50 אלף רשומות פיננסיות כולל בנקאות, תשלומים ועסקאות ביטקוין
- יותר מ-4.5 מיליון אסימונים של משתמשים בפייסבוק, לינקדאין, Firebase ואסימוני אחסון נתונים ארגוניים
נכון לעכשיו, אין דרך לדעת אם גם הנתונים שלך דלפו, אבל תמיד הכי בטוח להניח את הגרוע ביותר ולכן עליך לפעול בהתאם. Appthority טוען שהם הודיעו לגוגל לפני פרסום הדוח, וסיפקו את רשימת היישומים המושפעים יחד עם הקישורים למאגרי המידע הניתנים לצפייה ציבורית.
אנחנו יכולים רק לקוות שרשימת היישומים תשוחרר מאוחר יותר, מכיוון שכרגע המשתמשים נותרים בחושך אם המידע שלהם גלוי לציבור או לא. למרות שסביר להניח שזה מהימן, עיניים של גוגל וגם של החוקרים יראו את הנתונים. אנו ממליצים לשנות את הסיסמאות שלך כאמצעי זהירות עד שנגלה מידע נוסף.
מקור: Appthority
דרך: מחשב מצמץ