- Dołączył
- 26 Maj 2015
- Posty
- 19140
- Reakcje/Polubienia
- 55665
Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase
źródło:BadaczeZaloguj lub Zarejestruj się aby zobaczyć!przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązaniaZaloguj lub Zarejestruj się aby zobaczyć!. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia:
Z aplikacji mobilnych, które korzystały z bazy Firebase, około 10% okazało się podatnych (publicznie dostępna baza).Firebase is one of the most popular backend database technologies for mobile apps but does not secure user data by default, provide third-party encryption tools, or alert developers to insecure data and potential vulnerabilities.
Cały „trick” to dostęp do zasobu .json w odpowiedniej bazie (domena firebaseio.com), np. tutaj:Zaloguj lub Zarejestruj się aby zobaczyć!choć jak sama nazwa wskazuje – w tym przypadku dane mają być publiczne
W każdym razie, w całym badaniu uzyskano dostęp do około 2.6 miliona haseł, 4 milionów rekordów z danymi medycznymi czy 50 tysięcy danych z informacjami finansowymi.
Przy okazji, podobne historie były z publicznie dostępnymi instancjamiZaloguj lub Zarejestruj się aby zobaczyć!czyZaloguj lub Zarejestruj się aby zobaczyć!.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!