Údaje miliónov používateľov unikli cez nesprávne nakonfigurované backendy Firebase

Dáta miliónov používateľov unikli cez nesprávne nakonfigurované backendy Firebase, takže heslá vo formáte obyčajného textu a viac verejne viditeľné.

Z dôvodu nesprávneho nastavenia unikli údaje miliónov používateľov Firebase backendy, podľa správy z Appthority. Približne 113 GB údajov z 2 271 databáz bolo zverejnených v dôsledku nesprávnej konfigurácie. Firebase je služba Backend-as-a-Service od spoločnosti Google, o ktorej sa uvádzalo, že je to najrýchlejšie rastúce SDK v roku 2017. Táto služba je veľmi populárna medzi špičkovými vývojármi Androidu. Poskytuje cloudové správy, push notifikácie, databázy, analýzy, reklamu a mnoho ďalšieho, čo môžu vývojári využiť, a to všetko vďaka vysokovýkonným serverom Google. Zdá sa však, že mnohí vývojári to zneužívajú.

Podľa správy, počnúc januárom 2018, výskumníci skenovali mobilné aplikácie, ktoré využívajú Firebase pre svoju back-endovú funkčnosť. Po skenovaní niečo vyše 2,7 milióna aplikácií pre iOS a Android zistili, že približne 28 tisíc z nich používa Firebase. Z týchto aplikácií asi 3 000 uniklo svoje údaje vo verejne prístupnej databáze, ktorú bolo možné nájsť monitorovaním komunikácie aplikácie so serverom. A čo viac, celkový počet stiahnutí týchto 3 000 aplikácií presiahol 620 miliónov, čo naznačuje, že niektoré veľmi známe aplikácie sú tiež možnými páchateľmi. Typy údajov, ktoré unikli, sú uvedené nižšie.

  • 2,6 milióna hesiel a užívateľských ID v otvorenom texte
  • 4 milióny+ záznamov PHI (chránené zdravotné informácie) (chatové správy a podrobnosti o predpisoch)
  • 25 miliónov GPS záznamov o polohe
  • 50 tisíc finančných záznamov vrátane bankových, platobných a bitcoinových transakcií
  • 4,5 milióna+ tokenov používateľov pre Facebook, LinkedIn, Firebase a podnikové dátové úložiská

V súčasnosti nie je možné zistiť, či unikli aj vaše údaje, ale vždy je najbezpečnejšie predpokladať to najhoršie, takže by ste mali podľa toho konať. Appthority tvrdí, že pred zverejnením správy informovali Google a poskytli zoznam dotknutých aplikácií spolu s odkazmi na verejne prístupné databázy.

Ostáva nám len dúfať, že zoznam aplikácií bude zverejnený neskôr, keďže v súčasnosti sú používatelia ponechaní v neistote, či sú ich informácie verejne viditeľné alebo nie. Aj keď je to pravdepodobne dôveryhodné, oči spoločnosti Google aj výskumníkov tieto údaje uvidia. Odporúčame vám preventívne zmeniť heslá, kým nezistíme ďalšie informácie.


Zdroj: Appthority

Cez: Pípajúci počítač