Данные более 3 тысяч приложений утекли из-за неправильных настроек в Firebase

Firebase DB vulnerability

Компания в области мобильной информационной безопасности Appthority провела исследование около 2 млн приложений на iOS и Android на предмет утечек. По его результатам стало известно, что 113 ГБ пользовательских данных из нескольких тысяч приложений попало в открытый доступ. Это произошло из-за неверно настроенных баз данных платформы Firebase, которую Google продвигает как простой инструмент для создания и обслуживания мобильных и веб-приложений.

Что искали в Appthority?

Специалисты проверили более 2,7 млн мобильных приложений, которые используют БД Firebase для хранения данных. Исследователи анализировали шаблоны запросов, которые посылали программы для взаимодействия с сервером. Они уделили особенное внимание проектам, использующим JSON URL, с помощью которых, получая доступ напрямую, можно просмотреть все данные приложения.

После анализа приложений сотрудники Appthority выделили 28 тысяч (27 227 на Android и 1 275 на iOS) потенциально уязвимых приложений, которые хранили пользовательские данные на серверах Firebase. Среди них было отобрано 3 046 программ (2 446 на Android и 600 на iOS), базирующихся на неправильно настроенных БД, с данными в открытом доступе.

Сколько информации утекло из Firebase?

По информации Appthority, всего утекло около 100 млн записей с пользовательскими данными, среди которых:

  • 2,6 млн паролей и идентификаторов в незашифрованном виде;
  • больше 4 млн сообщений и записей с личной информацией;
  • 25 млн записей пользовательских маршрутов;
  • 50 тысяч банковских, платежных и криптовалютных транзакций;
  • более 4,5 млн токенов, содержащих данные Facebook, LinkedIn и Firebase.

В исследовании говорится, что число загрузок некоторых приложений из официальных магазинов превышает 620 млн. Это свидетельствует о том, что на уязвимых серверах базировались самые популярные мобильные приложения.

Что дальше?

Представители компании рассказали, что уведомили Google о проблеме до публикации отчета. Также они предоставили корпорации список уязвимых приложений и серверов.

Массивные утечки данных становятся привычным событием в современном мире. В начале июня 2018 года в сеть попали записи более 92 млн пользователей MyHeritage, а в середине мая утекли телефонные номера абонентов Zyxel из Германии.

Источник: Bleeping Computer

Ещё интересное для вас:
Тест: какой язык программирования вам стоит выбрать для изучения?
Тест: как хорошо вы разбираетесь в Data Science?
Соревнования и бесплатная онлайн-школа для программистов

Вакансии в тему:

«Банк Точка»
Android developer
Android developer
Банк Точка, Екатеринбург, 130 000 ₽
Grow Food
Разработчик React Native
Разработчик React Native
Grow Food, Санкт-Петербург, до 150 000 ₽