Milyonlarca kullanıcının verileri, yanlış yapılandırılmış Firebase arka uçları aracılığıyla sızdırıldı

Xda Haber özetiNov 12, 2023

Milyonlarca kullanıcının verileri, yanlış yapılandırılmış Firebase arka uçları aracılığıyla sızdırıldı ve düz metin şifreler kaldı ve daha çok herkese açık olarak görüntülenebilir hale geldi.

Yanlış yapılandırma nedeniyle milyonlarca kullanıcının verileri sızdırıldı Firebase tarafından hazırlanan bir rapora göre arka uçlar Yeterlilik. 2.271 veritabanındaki yaklaşık 113 GB'lık veri, yanlış yapılandırmanın bir sonucu olarak kamuya açık hale geldi. Firebase, Google'ın sunduğu bir Hizmet Olarak Arka Uç teklifidir. en hızlı büyüyen SDK 2017 yılında. Hizmet, en iyi Android geliştiricileri arasında oldukça popüler. Geliştiricilerin kullanabileceği bulut mesajlaşma, anlık bildirimler, veritabanları, analizler, reklamlar ve çok daha fazlasını sağlar ve tamamı Google'ın yüksek performanslı sunucuları tarafından desteklenir. Ancak birçok geliştiricinin bunu kötüye kullandığı görülüyor.

Rapora göre, Ocak 2018'den itibaren araştırmacılar, arka uç işlevleri için Firebase'i kullanan mobil uygulamaları taradı. 2,7 milyondan biraz fazla iOS ve Android uygulamasını taradıktan sonra, bunların yaklaşık 28 bininin Firebase kullandığını buldular. Bu uygulamalardan yaklaşık 3.000'i, uygulamanın bir sunucuyla iletişimi izlenerek bulunabilecek, herkese açık olarak görüntülenebilen bir veritabanındaki verilerini sızdırıyordu. Dahası, bu 3.000 uygulamanın toplam indirme sayısı 620 milyonu aştı; bu da bazı çok yüksek profilli uygulamaların da olası suçlular olduğunu gösteriyor. Sızan veri türleri aşağıdadır.

  • 2,6 milyon düz metin şifre ve kullanıcı kimliği
  • 4 milyondan fazla PHI (Korunan Sağlık Bilgileri) kaydı (sohbet mesajları ve reçete ayrıntıları)
  • 25 milyon GPS konum kaydı
  • Bankacılık, ödeme ve Bitcoin işlemlerini içeren 50 bin mali kayıt
  • 4,5 milyondan fazla Facebook, LinkedIn, Firebase ve kurumsal veri deposu kullanıcı jetonu

Şu anda verilerinizin de sızdırılıp sızdırılmadığını söylemenin bir yolu yok, ancak en kötüsünü varsaymak her zaman en güvenli yoldur, dolayısıyla buna göre hareket etmelisiniz. Yeterlilik Raporu yayınlamadan önce Google'ı bilgilendirdiklerini ve etkilenen uygulamaların listesini, herkese açık olarak görüntülenebilen veritabanlarının bağlantılarıyla birlikte sağladıklarını iddia ediyor.

Şu anda kullanıcılar, bilgilerinin herkese açık olarak görülüp görülemeyeceği konusunda karanlıkta kaldığından, uygulama listesinin daha sonra yayınlanacağını umabiliriz. Muhtemelen güvenilir olsa da hem Google'ın hem de araştırmacıların gözleri verileri görmüş olacak. Daha fazla bilgi bulana kadar önlem olarak şifrelerinizi değiştirmenizi öneririz.

Kaynak: Appthority

Üzerinden: Bleeping Bilgisayarı