Сотни веб-сайтов Google Firebase сливали данные в сеть

Исследователи безопасности обнаружили более 900 веб-сайтов, использующих облачный сервис баз данных Google Firebase. Площадки «сливали» конфиденциальные данные в сеть.

Сотни веб-сайтов Google Firebase сливали данные в сеть. Фото: СС0

Исследователи безопасности под псевдонимами mrbruh, xyzeva и logykk недавно обнаружили, что ИИ-сервис найма «chattr» неправильно реализовал интеграцию Firebase, и в результате они смогли создать новую учетную запись администратора и получить доступ к хранящимся там конфиденциальным данным.

Это вдохновило их на поиск подобных случаев в Интернете с помощью специального инструмента. Они обнаружили «более 900» веб-сайтов, на которых происходит утечка примерно 125 млн записей конфиденциальных данных.

Эти записи включали 85 млн имен, 106 млн адресов электронной почты, 34 млн телефонных номеров, 20 млн паролей и 27 млн платежных реквизитов. Этого более чем достаточно для многих лет электронного мошенничества, атак с кражей личных данных и многого другого, утверждают исследователи.

Все данные можно было получить в открытом виде.

Исследователи добавили, что, хотя результаты могут показаться катастрофическими, реальность, вероятно, еще хуже. Существует большая вероятность, что они не найдут все неправильно настроенные сайты. За несколько недель после обнаружения им удалось связаться с владельцами 842 веб-сайтов, из которых 85%, по-видимому, получили предупреждение. Девять процентов писем были отклонены.

Из тех, кто получил уведомление, 24% отреагировали и устранили проблему, один процент обратился к исследователям, а 0,2% предложили вознаграждение за обнаружение ошибки.

Firebase — это серверная служба, предлагающая облачное хранилище данных и инструменты разработки для веб-сайтов и приложений. По данным 6sense, в этом году у Firebase более 47 тыс. клиентов, причем подавляющее большинство — 54,25% (18 613) — из США. Среди его известных клиентов — Alibaba, Lyft, Venmo и The Economist.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме