Miljoniem lietotāju datu noplūda nepareizi konfigurētas Firebase aizmugursistēmas

Xda Ziņu īss AprakstsNov 12, 2023
click fraud protection

Miljoniem lietotāju datu ir noplūduši, izmantojot nepareizi konfigurētas Firebase aizmugursistēmas, atstājot vienkārša teksta paroles un vairāk publiski skatāmas.

Nepareizas konfigurācijas dēļ ir noplūduši miljoniem lietotāju datu Firebase backends, saskaņā ar ziņojumu no Piemērotība. Nepareizas konfigurācijas dēļ publiski tika atklāti aptuveni 113 GB datu vairāk nekā 2271 datu bāzē. Firebase ir Google piedāvāts aizmugursistēma kā pakalpojums, par kuru tika ziņots, ka tas ir visstraujāk augošais SDK 2017. gadā. Pakalpojums ir ļoti populārs starp labākajiem Android izstrādātājiem. Tas nodrošina mākoņa ziņojumapmaiņu, pašpiegādes paziņojumus, datu bāzes, analīzi, reklāmu un daudz ko citu, ko izstrādātāji var izmantot, un to visu nodrošina Google augstas veiktspējas serveri. Tomēr šķiet, ka daudzi izstrādātāji to izmanto nepareizi.

Saskaņā ar ziņojumu, sākot ar 2018. gada janvāri, pētnieki skenēja mobilās lietotnes, kuru aizmugures funkcionalitātei tiek izmantota Firebase. Pēc nedaudz vairāk nekā 2,7 miljonu iOS un Android lietojumprogrammu skenēšanas viņi atklāja, ka aptuveni 28 tūkstoši no tiem izmantoja Firebase. No šīm lietotnēm aptuveni 3000 nopludināja savus datus publiski skatāmā datu bāzē, ko varēja atrast, uzraugot lietotnes saziņu ar serveri. Turklāt šo 3000 lietojumprogrammu kopējais lejupielāžu skaits pārsniedza 620 miljonus, kas liecina, ka arī dažas ļoti augsta līmeņa lietojumprogrammas ir iespējami pārkāpēji. Tālāk ir norādīti nopludināto datu veidi.

  • 2,6 miljoni vienkārša teksta paroļu un lietotāja ID
  • Vairāk nekā 4 miljoni PHI (aizsargātas veselības informācijas) ierakstu (tērzēšanas ziņojumi un informācija par receptēm)
  • 25 miljoni GPS atrašanās vietas ierakstu
  • 50 tūkstoši finanšu ierakstu, ieskaitot bankas, maksājumu un Bitcoin darījumus
  • Vairāk nekā 4,5 miljoni Facebook, LinkedIn, Firebase un korporatīvo datu krātuves lietotāju pilnvaru

Pašlaik nav iespējams noteikt, vai jūsu dati ir arī nopludināti, taču vienmēr ir drošāk pieņemt sliktāko, tāpēc jums ir jārīkojas atbilstoši. Piemērotība apgalvo, ka pirms ziņojuma publicēšanas ir informējuši uzņēmumu Google, sniedzot ietekmēto lietojumprogrammu sarakstu, kā arī saites uz publiski skatāmām datu bāzēm.

Atliek vien cerēt, ka aplikāciju saraksts tiks publicēts vēlāk, jo šobrīd lietotāji ir palikuši neziņā par to, vai viņu informācija ir publiski apskatāma vai nē. Lai gan, iespējams, uzticami, gan Google, gan pētnieku acis būs redzējušas datus. Mēs iesakām piesardzības nolūkos nomainīt paroles, līdz tiek iegūta plašāka informācija.

Avots: Apphority

Izmantojot: Bleeping Computer