Miljoenen gebruikersgegevens zijn gelekt via verkeerd geconfigureerde Firebase-backends, waardoor wachtwoorden in platte tekst achterbleven en voor het publiek zichtbaar zijn.
Miljoenen gebruikersgegevens zijn gelekt vanwege onjuiste configuratie Vuurbasis backends, volgens een rapport van Geschiktheid. Ongeveer 113 GB aan gegevens uit 2.271 databases werd openbaar gemaakt als gevolg van een verkeerde configuratie. Firebase is een Backend-as-a-Service-aanbod van Google waarvan werd gemeld dat het de snelst groeiende SDK in 2017. De dienst is enorm populair onder de beste Android-ontwikkelaars. Het biedt cloudberichten, pushmeldingen, databases, analyses, advertenties en nog veel meer waar ontwikkelaars gebruik van kunnen maken, allemaal mogelijk gemaakt door de krachtige servers van Google. Het lijkt er echter op dat veel ontwikkelaars er misbruik van maken.
Volgens het rapport hebben onderzoekers vanaf januari 2018 mobiele apps gescand die Firebase gebruiken voor hun back-endfunctionaliteit. Na het scannen van iets meer dan 2,7 miljoen iOS- en Android-applicaties ontdekten ze dat ongeveer 28 duizend hiervan Firebase gebruikten. Van die apps lekten ongeveer 3.000 hun gegevens in een publiekelijk zichtbare database die gevonden kon worden door de communicatie van de app met een server te monitoren. Bovendien overschreden de totale downloads van deze 3.000 applicaties de 620 miljoen, wat erop wijst dat sommige zeer spraakmakende applicaties ook mogelijke overtreders zijn. Hieronder vindt u de soorten gegevens die zijn gelekt.
- 2,6 miljoen leesbare wachtwoorden en gebruikers-ID's
- 4 miljoen+ PHI-records (Protected Health Information) (chatberichten en receptgegevens)
- 25 miljoen GPS-locatierecords
- 50.000 financiële gegevens, waaronder bank-, betalings- en Bitcoin-transacties
- Meer dan 4,5 miljoen Facebook-, LinkedIn-, Firebase- en bedrijfsgegevens slaan gebruikerstokens op
Op dit moment is het niet mogelijk om te bepalen of uw gegevens ook zijn gelekt, maar het is altijd het veiligst om van het ergste uit te gaan, dus u moet dienovereenkomstig handelen. Geschiktheid beweert dat ze Google op de hoogte hebben gesteld voordat het rapport werd gepubliceerd, waarbij ze de lijst met getroffen applicaties hadden verstrekt, samen met de links naar de publiekelijk zichtbare databases.
We kunnen alleen maar hopen dat de lijst met applicaties later wordt vrijgegeven, aangezien gebruikers momenteel in het ongewisse blijven over de vraag of hun informatie openbaar zichtbaar is of niet. Hoewel vermoedelijk betrouwbaar, zullen ogen van zowel Google als de onderzoekers de gegevens hebben gezien. We raden u aan om uit voorzorg uw wachtwoorden te wijzigen totdat we meer informatie hebben.
Bron: Appthority
Via: Bleeping Computer