Новости Google Firebase раскрыла конфиденциальные данные 125 млн пользователей

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Убедитесь, что ваш Google Firebase правильно настроен, чтобы избежать утечки личной информации.


2via7r78b3n0bu4fn7j8p545azsv3xra.jpg


Из-за ошибки в конфигурации Google Firebase чувствительные данные минимум 900 сайтов, включая личную информацию пользователей, стали общедоступны в интернете.

В общей сложности было обнаружено не менее 125 миллионов записей пользователей, доступных публично. Среди утекших данных оказались платежная информация и пароли в открытом виде.


8084uvwcpogybzq4xyyzpgsg8miph3kj.png


Команда исследователей env.fail использовала инструмент сканирования для выявления неправильно настроенных баз данных Firebase на протяжении 2-3 недель, проверив 5,2 миллионов доменов. В итоге Для просмотра ссылки Войди или Зарегистрируйся открытые данные на более чем 900 сайтах, включая:

  • 85 миллионов имен;
  • 106 миллионов email-адресов;
  • 34 миллионов номеров телефонов;
  • 20 миллионов паролей;
  • 27 миллионов платежных реквизитов.

Исследователи также оповестили 842 владельца сайтов о найденных проблемах, из которых только 202 (24%) исправили неправильную конфигурацию. Тем не менее, всего 8 владельцев сайтов ответили на уведомления, и лишь 2 владельца предложили вознаграждение за обнаружение уязвимости.

Google Firebase, популярный облачный сервис для хранения данных, предлагает набор правил безопасности для защиты данных. Однако на практике уже не первый раз возникают проблемы с неправильной настройкой правил. Прошлые инциденты включали Для просмотра ссылки Войди или Зарегистрируйся из-за ошибок в реализации Firebase.

Проблемы подобного рода долгое время были характерны для облачных сервисов, включая Amazon AWS , пока компания не решила упростить для клиентов задачу безопасной настройки по умолчанию. Однако, согласно OWASP, неправильная конфигурация безопасности по-прежнему входит в пятерку Для просмотра ссылки Войди или Зарегистрируйся уязвимостей, что подчеркивает необходимость повышения осведомленности о проблемах безопасности среди владельцев веб-ресурсов.
 
Источник новости
www.securitylab.ru

Похожие темы