מיליוני סיסמאות, מיקומי GPS ורשומות פיננסיות עומדים ללא הגנה לעין - והשלך יכול להיות אחד מהם.
חוקרים ב-Appthority, חברת אבטחה ניידת, סרקו גם אפליקציות סלולריות של אנדרואיד וגם של iOS שהשתמשו בבסיסי נתונים של Firebase כדי לאחסן את הנתונים של המשתמשים שלהם. עבור חסרי התחלה, Firebase היא פלטפורמה עורפית מבוססת ענן פופולרית עבור יישומי מובייל ואינטרנט. החברה הייתהנרכש על ידי גוגלעוד בשנת 2014, כך שהוא מצא בסיס משתמשים אמיתי בקרב כמה ממפתחי אנדרואיד המובילים.
מה שמצאו חוקרי אבטחה ניידים מדאיג
עבורםדִוּוּחַ, Appthority בדקה יותר מ-2.7 מיליון אפליקציות לנייד גם ב-iOS וגם באנדרואיד. חוקרים גילו שמתוך 27,227 אפליקציות אנדרואיד ו-1,275 אפליקציות iOS המאחסנות את נתוני האפליקציה שלהן במערכות מסד הנתונים האחוריות של Firebase, 3,046 מהאפליקציות הללו שמרו נתונים בתוך 2,271 מסדי נתונים לא מאובטחים שממש כל אחד יכול היה לגשת אליהם. מתוך אפליקציות אלה המאחסנות את הנתונים הללו באופן גלוי לעיני כל, 2,446 נמצאות באנדרואיד ו-600 הנותרות הן יישומי iOS.
אז מה בדיוק מאוחסן כאן לעיני העולם כדי שהעולם יראה? בין כל היישומים הפגיעים הללו, הנתונים שדלפו כוללים: 2.6 מיליון מזהי משתמש וסיסמאות בטקסט רגיל, 25 מיליון רשומות מיקום GPS מאוחסנות, 50 אלף רשומות עסקאות פיננסיות בתוך האפליקציה, ויותר מ-4.5 מיליון אסימוני משתמש של פלטפורמת מדיה חברתית. נתונים אחרים שדולפים כוללים למעלה מ-4 מיליון רשומות PHI (הגן על מידע בריאותי) המכילות צ'אטים פרטיים ורשומות מרשמים.
מהירות אור ניתנת לריסוק
בסך הכל, למעלה מ-100 מיליון רשומות בודדות המשתרעות על סך של למעלה מ-113 גיגה-בייט של נתונים מהווים את המידע הנגיש המעורב בהפרה. אפליקציות האנדרואיד המושפעות הורדו יותר מ-620 מיליון פעמים מחנות Google Play.
עד כמה קל לכל אחד לקבל גישה לנתונים האישיים האלה? לפי הדיווח, הקצה האחורי הפגיע של Firebase אינו מוגן על ידי חומות אש או מערכות אימות. כדי לקבל כניסה לבסיסי נתונים לא מאובטחים אלה, "האקר" פשוט יצטרך להדביק את "/.json" עם שם מסד נתונים ריק לסוף שם המארח (לדוגמה, "https://appname.firebaseio.com/ .json").
חוקרים מציינים שהם יצרו קשר עם גוגל לפני פרסום הדוח הזה. הם אומרים שהם גם סיפקו לגוגל רשימה מלאה של האפליקציות הלא מאובטחות, יחד עם פנייה למפתחי האפליקציות עצמם. בעוד שרשימת האפליקציות הפגיעות לא פורסמה לציבור, הן כוללות אפליקציות בקטגוריות החל מהודעות ופיננסים ועד בריאות ונסיעות. החברות או היוצרים מאחורי האפליקציות המושפעות הללו ממוקמות ברחבי העולם.
האירוע הזה יחדעִם אין ספור אחריםממשיך להוכיח שנותר הרבה מה לרצות מחברות ששומרות את הנתונים הפרטיים והאישיים ביותר שלנו.
עדכון: 2 ביולי 2018, 13:00 EDTנציג גוגל פנה כדי לספק עדכון. בדצמבר 2017, גוגל שלחה מיילים לכל הפרויקטים הלא מאובטחים עם הנחיות כיצד להפעיל כללי אבטחה. מפתחים צריכים לבטל כללי אבטחה כדי לאפשר גישה ציבורית למאגרי מידע. Firebase מאבטח מסדי נתונים כברירת מחדל.
