Niestety okazało się, że baza danych Google, Firebase, nie jest taka szczelna jaka miała być. Dane kilku milionów użytkowników wyciekło ze względu na źle skonfigurowane backend’y w wielu aplikacjach.

Firebase

To platforma, która wyewoluowała z Evolve, aby później, w 2014 roku, zostać wykupioną przez Google. Zadaniem platformy jest ułatwienie tworzenia aplikacji poprzez dostarczenie wielu niezbędnych API oraz miejsca na bazę danych. Jednymi z nich są np. Firebase Cloud Messaging (FCM), czyli wieloplatformowe chat i powiadomienia, czy Firebase Auth, a więc opcja ułatwiająca dodanie prostego logowania się do aplikacji.

Ta ostatnia opcja wykorzystywana jest przez wiele aplikacji, m.in. Facebooka, Twittera, czy samo Google. Także Alibaba, czyli właściciel AliExpress, Lyft, Shazam, duolingo, trivago, czy Wattpad korzystają z Firebase.

Właściwie większość, jeśli nie wszystkie aplikacje pozwalające na logowanie się kontami innych serwisów (głównie Google lub Facebooka) korzystają z tej platformy.

Jak widzicie te dane są naprawdę istotne.

Wyciek

Appthority, firma zajmująca się testowaniem aplikacji pod względem ich bezpieczeństwa, przetestowała od stycznia 2018 ponad 2,7 miliona aplikacji na iOSa oraz Androida. Testy wykazały, że „tylko” 3 tysiące z nich było dziurawe, a dokładniej bazy danych były publicznie dostępne podczas komunikacji aplikacji z serwerem!

I to nie wszystko. Zgodnie z obliczeniami Appthority te 3000 aplikacji wskazuje, że dziurawe może być nawet 620 milionów aplikacji na oba systemy! Głównie te od dłuższego czasu nieaktualizowane.

Appthority podczas testów uzyskała dostęp do następujących danych:

  • 2,6 miliona loginów oraz haseł (niezaszyfrowanych, dostępnych w prostym tekście),
  • ponad 4 milionów rekordów PHI (Public Health Information),
  • 25 milionów rekordów z lokalizacjami GPS,
  • 50 tysięcy informacji na temat transakcji bankowych oraz w Bitcoinach,
  • ponad 4,5 miliona tokenów użytkowników Facebooka, LinkedIn, Firebase, czy korporacyjnych.

A to tylko 3 tysiące aplikacji…

Na chwilę obecną nieznany jest ani sposób na monitorowanie połączeń aplikacji z serwerami, ani ich dokładne nazwy. Lista aplikacji byłąby przydatna, gdyż pozwoliłaby na sprawdzenie, czy nasze dane są bezpieczne, czy nie.

Appthority twierdzi, że powiadomiło już o tym Google i to przed udostępnieniem raportu.

XDA poleca zmianę swoich haseł. Skodza tylko, że nie wiemy jakich kont. Zmiana we wszystkich (zwłaszcza, że najpewniej wiele zostało zapomniane) może być niemożliwa.

Źródło: Appthority (przez XDA)

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.