Dane milionów użytkowników wyciekły przez źle skonfigurowane backendy Firebase

Krótkie Wiadomości XdaNov 12, 2023

Dane milionów użytkowników wyciekły przez źle skonfigurowane backendy Firebase, pozostawiając hasła w postaci zwykłego tekstu i bardziej widoczne publicznie.

Dane milionów użytkowników wyciekły z powodu nieprawidłowej konfiguracji Baza ogniowa według raportu z Appthority. Około 113 GB danych z 2271 baz danych zostało ujawnionych publicznie w wyniku błędnej konfiguracji. Firebase to usługa typu backend-as-a-Service oferowana przez Google, która według doniesień jest najszybciej rozwijający się pakiet SDK w 2017 r. Usługa cieszy się ogromną popularnością wśród czołowych programistów Androida. Zapewnia komunikację w chmurze, powiadomienia push, bazy danych, analizy, reklamy i wiele więcej, z których mogą korzystać programiści, a wszystko to dzięki wydajnym serwerom Google. Wygląda jednak na to, że wielu programistów nadużywa go.

Według raportu od stycznia 2018 r. badacze skanowali aplikacje mobilne korzystające z Firebase pod kątem funkcjonalności zaplecza. Po przeskanowaniu nieco ponad 2,7 miliona aplikacji na iOS i Androida odkryli, że około 28 tysięcy z nich korzystało z Firebase. Spośród tych aplikacji około 3000 wyciekało dane do publicznie dostępnej bazy danych, którą można było znaleźć, monitorując komunikację aplikacji z serwerem. Co więcej, łączna liczba pobrań tych 3000 aplikacji przekroczyła 620 milionów, co sugeruje, że niektóre bardzo popularne aplikacje również mogą powodować przestępstwa. Poniżej znajdują się rodzaje danych, które wyciekły.

  • 2,6 miliona haseł i identyfikatorów użytkowników w postaci zwykłego tekstu
  • Ponad 4 miliony rekordów PHI (chronione informacje zdrowotne) (wiadomości na czacie i szczegóły recept)
  • 25 milionów rekordów lokalizacji GPS
  • 50 tys. dokumentacji finansowej obejmującej transakcje bankowe, płatnicze i Bitcoin
  • Ponad 4,5 miliona tokenów użytkowników Facebooka, LinkedIn, Firebase i korporacyjnego magazynu danych

Obecnie nie można stwierdzić, czy Twoje dane również wyciekły, ale zawsze najbezpieczniej jest założyć najgorsze, dlatego należy podjąć odpowiednie działania. Appthority twierdzi, że powiadomił Google przed opublikowaniem raportu, udostępniając listę aplikacji, których dotyczy problem, wraz z linkami do publicznie dostępnych baz danych.

Możemy mieć tylko nadzieję, że lista aplikacji zostanie opublikowana później, ponieważ obecnie użytkownicy nie wiedzą, czy ich informacje są publicznie widoczne, czy nie. Dane są prawdopodobnie godne zaufania, ale zarówno Google, jak i badacze będą mogli zobaczyć te dane. Zalecamy zapobiegawczą zmianę haseł do czasu uzyskania dalszych informacji.

źródło: Appthority

Przez: Piszczący Komputer