Millioner av brukeres data har lekket gjennom feilkonfigurerte Firebase-backends, slik at passord i ren tekst og mer er synlig for offentligheten.
Millioner av brukeres data har blitt lekket på grunn av feilkonfigurering Firebase backends, ifølge en rapport fra Appthority. Rundt 113 GB med data over 2 271 databaser ble avslørt offentlig som følge av feilkonfigurering. Firebase er et Backend-as-a-Service-tilbud fra Google som ble rapportert å være raskest voksende SDK i 2017. Tjenesten er enormt populær blant de beste Android-utviklerne. Det gir skymeldinger, push-varsler, databaser, analyser, annonsering og mye mer som utviklere kan bruke, alt drevet av Googles høyytelsesservere. Det ser imidlertid ut til at mange utviklere misbruker det.
I følge rapporten, fra januar 2018, skannet forskere mobilapper som bruker Firebase for back-end-funksjonaliteten. Etter å ha skannet litt over 2,7 millioner iOS- og Android-applikasjoner, fant de ut at rundt 28 tusen av disse brukte Firebase. Av disse appene lekket rundt 3000 dataene sine i en offentlig synlig database som kunne bli funnet ved å overvåke appens kommunikasjon med en server. Dessuten oversteg de totale nedlastingene av disse 3000 applikasjonene 620 millioner, noe som tyder på at noen svært høyprofilerte applikasjoner også er mulige lovbrytere. Datatypene som ble lekket er nedenfor.
- 2,6 millioner passord og bruker-ID-er i klartekst
- 4 millioner+ PHI (Protected Health Information) poster (chatmeldinger og reseptdetaljer)
- 25 millioner GPS-posisjonsregistreringer
- 50 tusen finansielle poster inkludert bank-, betalings- og Bitcoin-transaksjoner
- 4,5 millioner+ Facebook-, LinkedIn-, Firebase- og bedriftsdata lagrer brukertokens
For øyeblikket er det ingen måte å si om dataene dine også har blitt lekket, men det er alltid tryggest å anta det verste, så du bør handle deretter. Appthority hevder at de varslet Google før publisering av rapporten, og ga listen over berørte applikasjoner sammen med koblingene til de offentlig synlige databasene.
Vi kan bare håpe at listen over applikasjoner vil bli utgitt senere, ettersom brukere for øyeblikket ikke er i tvil om informasjonen deres er offentlig synlig eller ikke. Selv om de antagelig er pålitelige, vil øyne fra både Google og forskerne ha sett dataene. Vi anbefaler at du endrer passordene dine som en forholdsregel til vi finner ut mer informasjon.
Kilde: Appthority
Via: Bleeping Computer