Migliaia di app per Android e iOS stanno perdendo i dati degli utenti attraverso il loro back-end Firebase

Le applicazioni perdono, inavvertitamente, i dati degli utenti tramite 2.271 database mal configurati.

0
42
Migliaia di app per Android e iOS stanno perdendo i dati degli utenti attraverso il loro back-end Firebase

Firebase è un ottimo servizio per ogni piccolo sviluppatore Con la necessità di avere un servizio online a propria disposizione; gestito da Google, fa di tutto per aiutare gli sviluppatori ad utilizzarlo nelle loro app mobili.

A rischio i dati degli utenti

Apparentemente, tuttavia, qualche sviluppatore deve aver avuto qualche problema durante la configurazione del database utilizzato per memorizzare i dati. Dopo aver analizzato 2.7 milioni di app, i ricercatori di sicurezza di Appthority hanno, infatti, riferito che oltre 113 GB di dati sono disponibili attraverso oltre 2.200 database Firebase a chiunque conosca l’URL giusto. In totale, ci sono oltre 100 milioni di documenti personali esposti.

I ricercatori hanno trovato 28.500 app che hanno utilizzato Firebase per connettere ed archiviare i dettagli degli utenti; tra questi, di 3.046 applicazioni hanno archiviato i dati all’interno di un database Firebase errato e leggibile tramite l’uso di uno schema URL JSON. La maggior parte delle app che usano Firebase sono per Android, ma sono presenti anche 600 app per iOS. Il problema è indipendente dalla piattaforma e le app in questione non sono colpevoli, in questo caso. Il problema nasce semplicemente dalla configurazione del database sul back-end.

Migliaia di app per Android e iOS stanno perdendo i dati degli utenti attraverso il loro back end Firebase %name TechNinja

Quali sono le informazioni trapelate?

Le informazioni trapelate contengono:

  • 2.6 milioni di password in chiaro e ID utente;
  • 4 milioni + record PHI (informazioni sanitarie protette);
  • 25 milioni di record GPS;
  • 50 mila dati finanziari comprese le transazioni Bitcoin;
  • 4.5 milioni di dati Facebook, LinkedIn, token utente per data-store aziendali.

Appthority ha informato Google sulla configurazione del database e ha fornito l’elenco delle app interessate prima della pubblicazione di questo report.