მილიონობით მომხმარებლის მონაცემმა გაჟონა არასწორად კონფიგურირებული Firebase backend-ების მეშვეობით

Xda სიახლეების ბრიფინგიNov 12, 2023
click fraud protection

მილიონობით მომხმარებლის მონაცემმა გაჟონა არასწორად კონფიგურირებული Firebase backend-ებით, რის გამოც ღია ტექსტის პაროლები და უფრო საჯაროდ ხილვადი რჩება.

მილიონობით მომხმარებლის მონაცემები გაჟონა არასწორი კონფიგურაციის გამო Firebase backends, მოხსენების მიხედვით აპტორიტეტი. 2,271 მონაცემთა ბაზაზე დაახლოებით 113 GB მონაცემი საჯაროდ იყო გამოქვეყნებული არასწორი კონფიგურაციის შედეგად. Firebase არის Google-ის მიერ Backend-as-a-Service შეთავაზება, რომელიც მოხსენებული იყო ყველაზე სწრაფად მზარდი SDK 2017 წელს. სერვისი ძალიან პოპულარულია Android-ის საუკეთესო დეველოპერებს შორის. ის უზრუნველყოფს ღრუბლოვან შეტყობინებებს, push-შეტყობინებებს, მონაცემთა ბაზებს, ანალიტიკას, რეკლამას და ბევრ სხვას, რაც დეველოპერებს შეუძლიათ გამოიყენონ, ეს ყველაფერი უზრუნველყოფილია Google-ის მაღალი ხარისხის სერვერებით. თუმცა, როგორც ჩანს, ბევრი დეველოპერი მას არასწორად იყენებს.

მოხსენების თანახმად, 2018 წლის იანვრიდან დაწყებული, მკვლევარებმა დაასკანერეს მობილური აპლიკაციები, რომლებიც იყენებენ Firebase-ს მათი უკანა ფუნქციონირებისთვის. 2.7 მილიონზე ოდნავ მეტი iOS და Android აპლიკაციის სკანირების შემდეგ, მათ აღმოაჩინეს, რომ მათგან დაახლოებით 28 ათასი იყენებდა Firebase-ს. ამ აპლიკაციებიდან, დაახლოებით 3000-ს ჰქონდა მონაცემების გაჟონვა საჯარო ხილვადი მონაცემთა ბაზაში, რომლის პოვნა შესაძლებელია აპლიკაციის სერვერთან კომუნიკაციის მონიტორინგით. უფრო მეტიც, ამ 3000 აპლიკაციის ჩამოტვირთვების მთლიანმა რაოდენობამ გადააჭარბა 620 მილიონს, რაც მიუთითებს იმაზე, რომ ზოგიერთი ძალიან მაღალი დონის აპლიკაცია ასევე სავარაუდო დამნაშავეა. მონაცემების ტიპები, რომლებიც გაჟონა, ქვემოთ მოცემულია.

  • 2.6 მილიონი მარტივი ტექსტის პაროლი და მომხმარებლის ID
  • 4 მილიონი+ PHI (დაცული ჯანმრთელობის ინფორმაცია) ჩანაწერი (ჩეთის შეტყობინებები და რეცეპტის დეტალები)
  • 25 მილიონი GPS მდებარეობის ჩანაწერი
  • 50 ათასი ფინანსური ჩანაწერი საბანკო, გადახდის და ბიტკოინის ტრანზაქციების ჩათვლით
  • 4,5 მილიონი+ Facebook, LinkedIn, Firebase და კორპორატიული მონაცემთა მაღაზიის მომხმარებლის ტოკენები

ამჟამად, არ არსებობს გზა იმის თქმა, გაჟონა თუ არა თქვენი მონაცემები, მაგრამ ყოველთვის ყველაზე უსაფრთხოა ვივარაუდოთ ყველაზე უარესი, ასე რომ თქვენ უნდა იმოქმედოთ შესაბამისად. აპტორიტეტი ამტკიცებს, რომ მათ შეატყობინეს Google-ს ანგარიშის გამოქვეყნებამდე და მიაწოდეს დაზარალებული აპლიკაციების სია საჯარო ხილვადი მონაცემთა ბაზების ბმულებთან ერთად.

ჩვენ შეგვიძლია მხოლოდ იმედი ვიქონიოთ, რომ აპლიკაციების სია მოგვიანებით გამოქვეყნდება, რადგან ამჟამად მომხმარებლები ბნელში რჩებიან იმის შესახებ, არის თუ არა მათი ინფორმაცია საჯაროდ ხილვადი თუ არა. მიუხედავად იმისა, რომ სავარაუდოდ სანდოა, როგორც გუგლის, ისე მკვლევარების თვალი დაინახავს მონაცემებს. ჩვენ გირჩევთ შეცვალოთ თქვენი პაროლები სიფრთხილის მიზნით, სანამ არ გავიგებთ დამატებით ინფორმაციას.

წყარო: Appthority

მეშვეობით: Bleeping კომპიუტერი