Данные более 3 тысяч приложений утекли из-за неправильных настроек в Firebase

Компания в области мобильной информационной безопасности Appthority провела исследование около 2 млн приложений на iOS и Android на предмет утечек. По его результатам стало известно, что 113 ГБ пользовательских данных из нескольких тысяч приложений попало в открытый доступ. Это произошло из-за неверно настроенных баз данных платформы Firebase, которую Google продвигает как простой инструмент для создания и обслуживания мобильных и веб-приложений.

Что искали в Appthority?

Специалисты проверили более 2,7 млн мобильных приложений, которые используют БД Firebase для хранения данных. Исследователи анализировали шаблоны запросов, которые посылали программы для взаимодействия с сервером. Они уделили особенное внимание проектам, использующим JSON URL, с помощью которых, получая доступ напрямую, можно просмотреть все данные приложения.

После анализа приложений сотрудники Appthority выделили 28 тысяч (27 227 на Android и 1 275 на iOS) потенциально уязвимых приложений, которые хранили пользовательские данные на серверах Firebase. Среди них было отобрано 3 046 программ (2 446 на Android и 600 на iOS), базирующихся на неправильно настроенных БД, с данными в открытом доступе.

Сколько информации утекло из Firebase?

По информации Appthority, всего утекло около 100 млн записей с пользовательскими данными, среди которых:

• 2,6 млн паролей и идентификаторов в незашифрованном виде;
• больше 4 млн сообщений и записей с личной информацией;
• 25 млн записей пользовательских маршрутов;
• 50 тысяч банковских, платежных и криптовалютных транзакций;
• более 4,5 млн токенов, содержащих данные Facebook, LinkedIn и Firebase.

В исследовании говорится, что число загрузок некоторых приложений из официальных магазинов превышает 620 млн. Это свидетельствует о том, что на уязвимых серверах базировались самые популярные мобильные приложения.

Что дальше?

Представители компании рассказали, что уведомили Google о проблеме до публикации отчета. Также они предоставили корпорации список уязвимых приложений и серверов.

Массивные утечки данных становятся привычным событием в современном мире. В начале июня 2018 года в сеть попали записи более 92 млн пользователей MyHeritage, а в середине мая утекли телефонные номера абонентов Zyxel из Германии.