Miljontals användares data har läckt ut genom felkonfigurerade Firebase-backends, vilket gör att lösenord i klartext och mer är synliga för allmänheten.
Miljontals användares data har läckt ut på grund av felkonfigurering Firebase backends, enligt en rapport från Appthority. Omkring 113 GB data över 2 271 databaser exponerades offentligt som ett resultat av att de var felkonfigurerade. Firebase är ett Backend-as-a-Service-erbjudande från Google som rapporterades vara snabbast växande SDK under 2017. Tjänsten är enormt populär bland de främsta Android-utvecklarna. Den tillhandahåller molnmeddelanden, push-meddelanden, databaser, analyser, reklam och mycket mer som utvecklare kan använda, allt drivs av Googles högpresterande servrar. Det verkar dock som att många utvecklare missbrukar det.
Enligt rapporten, från och med januari 2018, skannade forskare mobilappar som använder Firebase för deras back-end-funktionalitet. Efter att ha skannat lite över 2,7 miljoner iOS- och Android-applikationer fann de att cirka 28 tusen av dessa använde Firebase. Av dessa appar läckte cirka 3 000 sina data i en offentligt tillgänglig databas som kunde hittas genom att övervaka appens kommunikation med en server. Dessutom översteg de totala nedladdningarna av dessa 3 000 applikationer 620 miljoner, vilket tyder på att några mycket högprofilerade applikationer också är möjliga förövare. De typer av data som läckte finns nedan.
- 2,6 miljoner klartextlösenord och användar-ID
- 4 miljoner+ PHI-poster (Protected Health Information) (chattmeddelanden och receptdetaljer)
- 25 miljoner GPS-platsposter
- 50 tusen finansiella poster inklusive bank-, betalnings- och Bitcoin-transaktioner
- Över 4,5 miljoner Facebook, LinkedIn, Firebase och företagsdata lagrar användartokens
För närvarande finns det inget sätt att avgöra om din data också har läckt, men det är alltid säkrast att anta det värsta så du bör agera därefter. Appthority hävdar att de meddelade Google innan de publicerade rapporten, och tillhandahåller listan över berörda applikationer tillsammans med länkarna till de offentligt tillgängliga databaserna.
Vi kan bara hoppas att listan över applikationer kommer att släppas senare, eftersom användarna för närvarande lämnas i mörker om huruvida deras information är offentligt synlig eller inte. Även om de förmodligen är pålitliga, kommer ögon från både Google och forskarna att ha sett data. Vi rekommenderar att du ändrar dina lösenord som en försiktighetsåtgärd tills vi får reda på mer information.
Källa: Appthority
Via: Bleeping Computer