Milijonai naudotojų duomenų nutekėjo per netinkamai sukonfigūruotas „Firebase“ programas

Xda Naujienų SantraukaNov 12, 2023
click fraud protection

Milijonai naudotojų duomenų nutekėjo per netinkamai sukonfigūruotas „Firebase“ pagrindines programas, todėl slaptažodžiai liko paprasto teksto ir daugiau viešai matomi.

Milijonai vartotojų duomenų nutekėjo dėl netinkamai sukonfigūruotų duomenų Firebase pagal ataskaitą iš Tinkamumas. Apie 113 GB duomenų daugiau nei 2 271 duomenų bazėje buvo viešai atskleista dėl netinkamai sukonfigūruotų duomenų. „Firebase“ yra „Google“ teikiama „Backend-as-a-Service“ paslauga, kuri, kaip buvo pranešta, yra sparčiausiai augantis SDK 2017 metais. Ši paslauga yra labai populiari tarp geriausių „Android“ kūrėjų. Tai teikia debesies pranešimus, tiesioginius pranešimus, duomenų bazes, analizę, reklamą ir daug daugiau, ką kūrėjai gali panaudoti, visa tai aprūpina didelio našumo „Google“ serveriai. Tačiau panašu, kad daugelis kūrėjų tuo piktnaudžiauja.

Ataskaitoje teigiama, kad nuo 2018 m. sausio mėn. mokslininkai nuskenavo programas mobiliesiems, kurios naudoja „Firebase“ savo foninėms funkcijoms. Nuskaitę šiek tiek daugiau nei 2,7 milijono iOS ir Android programų, jie nustatė, kad apie 28 tūkstančiai iš jų naudojo Firebase. Iš tų programų apie 3000 nutekėjo savo duomenis viešai matomoje duomenų bazėje, kurią galima rasti stebint programos ryšį su serveriu. Be to, bendras šių 3000 programų atsisiuntimų skaičius viršijo 620 mln., o tai rodo, kad kai kurios labai populiarios programos taip pat gali būti pažeidėjai. Toliau pateikiami nutekintų duomenų tipai.

  • 2,6 mln. paprasto teksto slaptažodžių ir vartotojo ID
  • Daugiau nei 4 milijonai PHI (apsaugotos sveikatos informacijos) įrašų (pokalbių pranešimai ir receptų informacija)
  • 25 milijonai GPS vietos įrašų
  • 50 tūkstančių finansinių įrašų, įskaitant banko, mokėjimo ir Bitcoin operacijas
  • Daugiau nei 4,5 mln. „Facebook“, „LinkedIn“, „Firebase“ ir įmonių duomenų saugyklos naudotojų prieigos raktų

Šiuo metu nėra jokio būdo pasakyti, ar jūsų duomenys taip pat buvo nutekinti, tačiau visada saugiausia manyti, kad yra blogiausia, todėl turėtumėte atitinkamai elgtis. Tinkamumas teigia, kad prieš paskelbdami ataskaitą apie tai pranešė „Google“, pateikdami paveiktų programų sąrašą ir nuorodas į viešai matomas duomenų bazes.

Belieka tikėtis, kad programų sąrašas bus paskelbtas vėliau, nes šiuo metu vartotojai nežinia, ar jų informacija yra viešai matoma, ar ne. Nors tikriausiai patikimi, tiek „Google“, tiek tyrėjai matė duomenis. Rekomenduojame atsargumo sumetimais pakeisti slaptažodžius, kol sužinosime daugiau informacijos.

Šaltinis: Apphority

Per: „Bleeping Computer“.