Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase
Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia:
Firebase is one of the most popular backend database technologies for mobile apps but does not secure user data by default, provide third-party encryption tools, or alert developers to insecure data and potential vulnerabilities.
Z aplikacji mobilnych, które korzystały z bazy Firebase, około 10% okazało się podatnych (publicznie dostępna baza).
Cały „trick” to dostęp do zasobu .json w odpowiedniej bazie (domena firebaseio.com), np. tutaj: https://publicdata-weather.firebaseio.com/.json choć jak sama nazwa wskazuje – w tym przypadku dane mają być publiczne :)
W każdym razie, w całym badaniu uzyskano dostęp do około 2.6 miliona haseł, 4 milionów rekordów z danymi medycznymi czy 50 tysięcy danych z informacjami finansowymi.
Przypominam też przy okazji o podobnej historii z publicznie dostępnymi instancjami Elasticsearch czy MongoDB.
–ms