Milhões de dados de usuários vazaram através de back-ends mal configurados do Firebase

click fraud protection

Os dados de milhões de usuários vazaram por meio de back-ends mal configurados do Firebase, deixando senhas em texto simples e mais visíveis publicamente.

Milhões de dados de usuários foram vazados devido a configurações incorretas Base de fogo back-ends, de acordo com um relatório da Autoridade. Cerca de 113 GB de dados em 2.271 bancos de dados foram expostos publicamente como resultado de configuração incorreta. Firebase é uma oferta de backend como serviço do Google que foi considerada a SDK que mais cresce em 2017. O serviço é extremamente popular entre os principais desenvolvedores Android. Ele fornece mensagens na nuvem, notificações push, bancos de dados, análises, publicidade e muito mais que os desenvolvedores podem utilizar, tudo alimentado pelos servidores de alto desempenho do Google. No entanto, parece que muitos desenvolvedores estão fazendo mau uso dele.

De acordo com o relatório, a partir de janeiro de 2018, os pesquisadores examinaram aplicativos móveis que utilizam o Firebase para sua funcionalidade de back-end. Depois de analisar um pouco mais de 2,7 milhões de aplicativos iOS e Android, eles descobriram que cerca de 28 mil deles usavam o Firebase. Desses aplicativos, cerca de 3.000 estavam vazando seus dados em um banco de dados publicamente visível que poderia ser encontrado monitorando a comunicação do aplicativo com um servidor. Além do mais, o total de downloads desses 3.000 aplicativos ultrapassou 620 milhões, sugerindo que alguns aplicativos de alto perfil também são possíveis infratores. Os tipos de dados que vazaram estão abaixo.

  • 2,6 milhões de senhas e IDs de usuário em texto simples
  • Mais de 4 milhões de registros PHI (Informações de Saúde Protegidas) (mensagens de bate-papo e detalhes de prescrição)
  • 25 milhões de registros de localização GPS
  • 50 mil registros financeiros, incluindo transações bancárias, de pagamento e Bitcoin
  • Mais de 4,5 milhões de tokens de usuários do Facebook, LinkedIn, Firebase e armazenamento de dados corporativos

No momento, não há como saber se seus dados também vazaram, mas é sempre mais seguro presumir o pior, então você deve agir de acordo. Autoridade afirma que notificou o Google antes de publicar o relatório, fornecendo a lista de aplicativos afetados junto com os links para os bancos de dados visíveis publicamente.

Só podemos esperar que a lista de aplicativos seja divulgada mais tarde, já que atualmente os usuários não sabem se suas informações podem ser visualizadas publicamente ou não. Embora presumivelmente confiáveis, os olhos do Google e dos pesquisadores terão visto os dados. Recomendamos alterar suas senhas por precaução até obtermos mais informações.


Fonte: Appthority

Via: Bipando Computador