Написать пост

Данные более 3 тысяч приложений утекли из-за неправильных настроек в Firebase

Аватар Тимур Кондратьев
Тимур Кондратьев

Специалисты проверили 2,7 млн приложений, использующих БД Firebase для хранения данных, и проанализировали шаблоны запросов для взаимодействия с сервером.

Компания в области мобильной информационной безопасности Appthority провела исследование около 2 млн приложений на iOS и Android на предмет утечек. По его результатам стало известно, что 113 ГБ пользовательских данных из нескольких тысяч приложений попало в открытый доступ. Это произошло из-за неверно настроенных баз данных платформы Firebase, которую Google продвигает как простой инструмент для создания и обслуживания мобильных и веб-приложений.

Что искали в Appthority?

Специалисты проверили более 2,7 млн мобильных приложений, которые используют БД Firebase для хранения данных. Исследователи анализировали шаблоны запросов, которые посылали программы для взаимодействия с сервером. Они уделили особенное внимание проектам, использующим JSON URL, с помощью которых, получая доступ напрямую, можно просмотреть все данные приложения.

После анализа приложений сотрудники Appthority выделили 28 тысяч (27 227 на Android и 1 275 на iOS) потенциально уязвимых приложений, которые хранили пользовательские данные на серверах Firebase. Среди них было отобрано 3 046 программ (2 446 на Android и 600 на iOS), базирующихся на неправильно настроенных БД, с данными в открытом доступе.

Сколько информации утекло из Firebase?

По информации Appthority, всего утекло около 100 млн записей с пользовательскими данными, среди которых:

  • 2,6 млн паролей и идентификаторов в незашифрованном виде;
  • больше 4 млн сообщений и записей с личной информацией;
  • 25 млн записей пользовательских маршрутов;
  • 50 тысяч банковских, платежных и криптовалютных транзакций;
  • более 4,5 млн токенов, содержащих данные Facebook, LinkedIn и Firebase.

В исследовании говорится, что число загрузок некоторых приложений из официальных магазинов превышает 620 млн. Это свидетельствует о том, что на уязвимых серверах базировались самые популярные мобильные приложения.

Что дальше?

Представители компании рассказали, что уведомили Google о проблеме до публикации отчета. Также они предоставили корпорации список уязвимых приложений и серверов.

Массивные утечки данных становятся привычным событием в современном мире. В начале июня 2018 года в сеть попали записи более 92 млн пользователей MyHeritage, а в середине мая утекли телефонные номера абонентов Zyxel из Германии.

Следите за новыми постами
Следите за новыми постами по любимым темам
491 открытий492 показов
Также рекомендуем
Обложка поста Как работает антивирус
Как работает антивирус
Рассказываем об истории антивирусов и о том, как софт ищет малвери.
Обложка поста Mobile App Localization: Breaking Language Barriers for Global Audiences
Mobile App Localization: Breaking Language Barriers for Global Audiences
App localisation demands a well-crafted strategy and technological support, thus we have prepared a guide describing the key steps.
Обложка поста Дорожная карта по Android-разработке с нуля
Дорожная карта по Android-разработке с нуля
Рассказываем, как стать Android-разработчиком с нуля, следуя дорожной карте. Вы узнаете, что изучать и в какой последовательности.
Обложка поста Джун уронил прод. Кто виноват и что делать
Джун уронил прод. Кто виноват и что делать
Объясняем, что значит мем «Джун уронил прод» и объясняем, что делать, чтобы прод не падал, и кого винить в падении прода.