Из-за ошибки в конфигурации Google Firebase чувствительные данные минимум 900 сайтов, включая личную информацию пользователей, стали общедоступны в интернете.
В общей сложности было обнаружено не менее 125 миллионов записей пользователей, доступных публично. Среди утекших данных оказались платежная информация и пароли в открытом виде.
Команда исследователей env.fail использовала инструмент сканирования для выявления неправильно настроенных баз данных Firebase на протяжении 2-3 недель, проверив 5,2 миллионов доменов. В итоге были обнаружены открытые данные на более чем 900 сайтах, включая:
- 85 миллионов имен;
- 106 миллионов email-адресов;
- 34 миллионов номеров телефонов;
- 20 миллионов паролей;
- 27 миллионов платежных реквизитов.
Исследователи также оповестили 842 владельца сайтов о найденных проблемах, из которых только 202 (24%) исправили неправильную конфигурацию. Тем не менее, всего 8 владельцев сайтов ответили на уведомления, и лишь 2 владельца предложили вознаграждение за обнаружение уязвимости.
Google Firebase, популярный облачный сервис для хранения данных, предлагает набор правил безопасности для защиты данных. Однако на практике уже не первый раз возникают проблемы с неправильной настройкой правил. Прошлые инциденты включали утечку данных из 4 000 Android-приложений из-за ошибок в реализации Firebase.
Проблемы подобного рода долгое время были характерны для облачных сервисов, включая Amazon AWS, пока компания не решила упростить для клиентов задачу безопасной настройки по умолчанию. Однако, согласно OWASP, неправильная конфигурация безопасности по-прежнему входит в пятерку наиболее распространенных уязвимостей, что подчеркивает необходимость повышения осведомленности о проблемах безопасности среди владельцев веб-ресурсов.