Milioane de date ale utilizatorilor s-au scurs prin backend-uri Firebase prost configurate

Xda Rezumat De știriNov 12, 2023

Milioane de date ale utilizatorilor s-au scurs prin backend-uri Firebase prost configurate, lăsând parole cu text simplu și mai vizibile public.

Milioane de date ale utilizatorilor au fost scurse din cauza configurării greșite Firebase backend-uri, conform unui raport de la Autoritate. Aproximativ 113 GB de date din peste 2.271 de baze de date au fost expuse public ca urmare a configurării greșite. Firebase este o ofertă Backend-as-a-Service de la Google, care a fost raportată a fi SDK cu cea mai rapidă creștere în 2017. Serviciul este extrem de popular printre dezvoltatorii de Android de top. Oferă mesagerie în cloud, notificări push, baze de date, analize, publicitate și multe altele pe care dezvoltatorii le pot utiliza, toate alimentate de serverele de înaltă performanță ale Google. Cu toate acestea, se pare că mulți dezvoltatori îl folosesc greșit.

Potrivit raportului, începând din ianuarie 2018, cercetătorii au scanat aplicații mobile care utilizează Firebase pentru funcționalitatea lor de back-end. După ce au scanat puțin peste 2,7 milioane de aplicații iOS și Android, au descoperit că aproximativ 28 de mii dintre acestea au folosit Firebase. Dintre aceste aplicații, aproximativ 3.000 își scurgeau datele într-o bază de date vizibilă public, care putea fi găsită prin monitorizarea comunicării aplicației cu un server. În plus, descărcările totale ale acestor 3.000 de aplicații au depășit 620 de milioane, ceea ce sugerează că unele aplicații de profil foarte înalt sunt și posibile infractore. Tipurile de date care au fost scurse sunt mai jos.

  • 2,6 milioane de parole în text simplu și ID-uri de utilizator
  • Peste 4 milioane de înregistrări PHI (Informații de sănătate protejate) (mesaje de chat și detalii despre rețetă)
  • 25 de milioane de înregistrări de locație GPS
  • 50 de mii de înregistrări financiare, inclusiv tranzacții bancare, de plată și Bitcoin
  • Peste 4,5 milioane de jetoane de utilizator Facebook, LinkedIn, Firebase și magazin de date corporative

În prezent, nu există nicio modalitate de a spune dacă datele dvs. au fost, de asemenea, scurse, dar este întotdeauna cel mai sigur să presupuneți ce este mai rău, așa că ar trebui să acționați în consecință. Autoritate susține că au notificat Google înainte de a publica raportul, furnizând lista aplicațiilor afectate împreună cu linkurile către bazele de date care pot fi vizualizate public.

Nu putem decât să sperăm că lista de aplicații va fi lansată mai târziu, deoarece în prezent utilizatorii sunt lăsați în întuneric dacă informațiile lor sunt vizibile public sau nu. Deși se presupune că sunt de încredere, atât ochii Google, cât și ai cercetătorilor vor fi văzut datele. Vă recomandăm să vă schimbați parolele ca măsură de precauție până când vom afla mai multe informații.

Sursa: Appthority

Via: Bleeping Computer