Тысячи облачных баз данных мобильных приложений остались доступными в Интернете
Тысячи облачных баз данных мобильных приложений остались доступными в Интернете. Фото: Pexels
После трехмесячного исследования компания Check Point Research (CPR) обнаружила 2113 мобильных приложений, чьи базы данных не были защищены в облаке. Любой мог получить к ним доступ прямо из браузера.
Мобильные приложения с открытыми базами данных варьировались от приложений с более чем 10 тыс. загрузок до очень популярных приложений с более чем 10 млн загрузок. CPR обнаружила широкий спектр конфиденциальных данных, включая сообщения в чате, личные фотографии, номера телефонов, электронные письма, имена пользователей, пароли и многое другое.
Руководитель отдела анализа угроз и исследований в Check Point Software Лотем Финкельстин объяснил, как исследователи безопасности фирмы смогли легко найти эти открытые базы данных с помощью бесплатного онлайн-инструмента VirusTotal.
Из сообщения руководителя отдела анализа угроз и исследований в Check Point Software Лотема Финкельстина:
«В этом исследовании мы показываем, как легко находить наборы данных и важные ресурсы, которые открыты в облаке для всех. Мы делимся простым методом того, как хакеры могут это сделать. Методология предполагает поиск в общедоступных хранилищах файлов, таких как VirusTotal, мобильных приложений, использующих облачные сервисы. Хакер может запросить у VirusTotal полный путь к облачному серверу мобильного приложения. Мы делимся несколькими примерами того, что мы могли найти там сами. Все, что мы нашли, доступно любому. В конечном счете, с помощью этого исследования мы доказываем, насколько легко может произойти утечка или эксплуатация данных. Объем данных, которые находятся в открытом доступе и доступны любому в облаке, просто сумасшедший. Его гораздо легче взломать, чем мы думаем»
В блоге CPR представила несколько примеров из своего исследования, не упомянув названия мобильных приложений, которые оставили свои облачные базы данных незащищенными в Интернете.
Первое приложение для крупной сети универмагов в Южной Америке было загружено более 10 млн раз. Выполнив поиск в VirusTotal, CPR смог найти учетные данные шлюза API и ключ API. Что еще хуже, эти учетные данные были в виде простого текста, и любой мог прочитать их и использовать для доступа к учетным записям клиентов универмага.
Следующее приложение — это приложение для отслеживания бега, загруженное более 100 тыс. раз. Его база данных содержала GPS-координаты пользователей и другие параметры здоровья, такие как частота сердечных сокращений. Обладая этой информацией, злоумышленник может создавать карты для отслеживания местонахождения пользователей приложения.
Затем CPR обнаружила открытую базу данных приложения для знакомств для людей с ограниченными возможностями. Эта база данных содержала 50 тыс. личных сообщений чата вместе с фотографиями отправителей. CPR также нашла открытую базу данных широко используемого приложения для создания логотипов, которое было загружено более 10 млн раз. Внутри базы данных было 130 тыс. имен пользователей, адресов электронной почты и паролей.
В дополнение к этим приложениям CPR также обнаружила незащищенные базы данных популярной программы для чтения PDF -файлов, а также приложение для ведения бухгалтерского учета.
Эксперты по безопасности рекомендуют потребителям защищать свои смартфоны, планшеты и ноутбуки надежными и сложными паролями. То же самое следует делать и компаниям, которые используют облачные базы данных для хранения данных для своих мобильных приложений.
Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи по теме
17216
Комментариев пока не было