ข้อมูลของผู้ใช้หลายล้านรายรั่วไหลผ่านแบ็กเอนด์ Firebase ที่กำหนดค่าไม่ถูกต้อง

สรุปข่าว XdaNov 12, 2023
click fraud protection

ข้อมูลของผู้ใช้หลายล้านรายรั่วไหลผ่านแบ็กเอนด์ Firebase ที่กำหนดค่าไม่ถูกต้อง ทิ้งรหัสผ่านแบบข้อความธรรมดาและเปิดเผยต่อสาธารณะได้มากขึ้น

ข้อมูลผู้ใช้หลายล้านคนรั่วไหลเนื่องจากการกำหนดค่าไม่ถูกต้อง ฐานไฟ แบ็กเอนด์ตามรายงานจาก ความพอใจ. ข้อมูลประมาณ 113GB ในฐานข้อมูล 2,271 แห่งถูกเปิดเผยต่อสาธารณะอันเป็นผลมาจากการกำหนดค่าไม่ถูกต้อง Firebase เป็นข้อเสนอ Backend-as-a-Service โดย Google ซึ่งได้รับการรายงานว่าเป็น SDK ที่เติบโตเร็วที่สุด ในปี 2560 บริการนี้ได้รับความนิยมอย่างมากในหมู่นักพัฒนา Android ชั้นนำ ให้บริการส่งข้อความบนคลาวด์ การแจ้งเตือนแบบพุช ฐานข้อมูล การวิเคราะห์ การโฆษณา และอื่นๆ อีกมากมายที่นักพัฒนาสามารถใช้งานได้ ทั้งหมดนี้ขับเคลื่อนโดยเซิร์ฟเวอร์ประสิทธิภาพสูงของ Google อย่างไรก็ตาม ดูเหมือนว่านักพัฒนาซอฟต์แวร์จำนวนมากใช้งานมันในทางที่ผิด

ตามรายงาน เริ่มตั้งแต่เดือนมกราคม 2018 นักวิจัยได้สแกนแอปบนอุปกรณ์เคลื่อนที่ซึ่งใช้ Firebase สำหรับฟังก์ชันแบ็คเอนด์ หลังจากสแกนแอปพลิเคชัน iOS และ Android มากกว่า 2.7 ล้านแอปพลิเคชัน พวกเขาพบว่ามีการใช้งาน Firebase ประมาณ 28,000 รายการ ในบรรดาแอพเหล่านั้น มีประมาณ 3,000 แอพที่รั่วไหลข้อมูลของพวกเขาในฐานข้อมูลที่เปิดเผยต่อสาธารณะ ซึ่งสามารถพบได้โดยการตรวจสอบการสื่อสารของแอพกับเซิร์ฟเวอร์ ยิ่งไปกว่านั้น ยอดดาวน์โหลดแอปพลิเคชันทั้ง 3,000 รายการเหล่านี้ทะลุ 620 ล้านครั้ง ซึ่งบ่งชี้ว่าแอปพลิเคชันที่มีชื่อเสียงระดับสูงบางแอปพลิเคชันก็อาจเป็นผู้กระทำความผิดได้เช่นกัน ประเภทข้อมูลที่รั่วไหลมีดังนี้

  • รหัสผ่านข้อความธรรมดาและ ID ผู้ใช้ 2.6 ล้านรหัส
  • บันทึก PHI (ข้อมูลสุขภาพที่ได้รับการคุ้มครอง) มากกว่า 4 ล้านรายการ (ข้อความแชทและรายละเอียดใบสั่งยา)
  • บันทึกตำแหน่ง GPS 25 ล้านรายการ
  • บันทึกทางการเงินกว่า 50,000 รายการ รวมถึงธุรกรรมทางธนาคาร การชำระเงิน และ Bitcoin
  • โทเค็นผู้ใช้ Facebook, LinkedIn, Firebase และที่เก็บข้อมูลองค์กรมากกว่า 4.5 ล้านรายการ

ในปัจจุบัน ไม่มีทางที่จะบอกได้ว่าข้อมูลของคุณรั่วไหลหรือไม่ แต่จะปลอดภัยที่สุดเสมอที่จะถือว่าสิ่งที่เลวร้ายที่สุด ดังนั้นคุณควรดำเนินการตามนั้น ความพอใจ อ้างว่าได้แจ้งให้ Google ทราบก่อนเผยแพร่รายงาน โดยระบุรายชื่อแอปพลิเคชันที่ได้รับผลกระทบพร้อมลิงก์ไปยังฐานข้อมูลที่เปิดเผยต่อสาธารณะ

เราหวังได้เพียงว่ารายการแอปพลิเคชันจะถูกปล่อยออกมาในภายหลัง เนื่องจากปัจจุบันผู้ใช้ถูกทิ้งให้อยู่ในความมืดมิดว่าข้อมูลของพวกเขาจะปรากฏต่อสาธารณะหรือไม่ แม้ว่าจะน่าเชื่อถือ แต่สายตาจากทั้ง Google และนักวิจัยก็จะได้เห็นข้อมูลนี้ เราขอแนะนำให้เปลี่ยนรหัสผ่านของคุณเพื่อเป็นการป้องกันไว้ก่อนจนกว่าเราจะพบข้อมูลเพิ่มเติม

ที่มา: Appthority

ที่มา: Bleeping Computer