Trei cercetători în securitate cibernetică au descoperit aproape 19 milioane de parole în text clar expuse pe internetul public din cauza unor instanțe configurate greșit ale Firebase, o platformă Google pentru găzduirea bazelor de date, a calculului în cloud și a dezvoltării de aplicații.
Trio-ul a scanat mai mult de cinci milioane de domenii și a găsit 916 site-uri web ale organizațiilor care fie nu aveau reguli de securitate activate, fie le configuraseră greșit.
Au fost găsite peste 125 de milioane de înregistrări sensibile ale utilizatorilor, inclusiv adrese de email, nume, parole, numere de telefon și informații de facturare cu detalii bancare.
Cercetătorii (Logykk, xyzeva/Eva și MrBruh) au început să caute pe web-ul public informații de identificare personală (PII) expuse printr-o instanță vulnerabilă Firebase.
Eva a declarat pentru BleepingComputer că au găsit instanțe Firebase care nu aveau deloc reguli de securitate sau erau configurate incorect și permiteau accesul la citirea bazelor de date.
„Majoritatea site-urilor aveau și permisiunea de scriere activată, ceea ce este rău”, ne-a spus Eva, adăugând că printre acestea au găsit și o bancă.
Pentru fiecare bază de date expusă, scriptul lui Eva, Catalyst, a verificat tipul de date disponibile și a extras o mostră de 100 de înregistrări.
Toate detaliile au fost organizate într-o bază de date privată care oferă o imagine de ansamblu în numere a informațiilor sensibile ale utilizatorilor pe care companiile le expun din cauza setărilor de securitate incorecte:
Pentru parole, problema devine mai gravă deoarece 98% dintre ele, adică 19.867.627 pentru a fi exact, sunt în text clar.
Eva ne-a spus că companiile trebuie să fi mers „din cale-afară” pentru a stoca [parola] în text clar deoarece Firebase are o soluție de identitate de la un capăt la altul numită Autentificare Firebase special concepută pentru procesele de conectare sigure care nu expun parolele utilizatorilor în înregistrări.
O modalitate de a expune parolele utilizatorilor într-o bază de date Firestore este ca administratorul să creeze un câmp „parolă” care stochează datele în text clar.
După analizarea datelor din mostre, cercetătorii au încercat să avertizeze toate companiile afectate de instanțele Firebase nesecurizate și au trimis 842 de emailuri timp de 13 zile.
Deși doar 1% dintre proprietarii site-urilor au răspuns, un sfert dintre administratorii site-urilor notificate au remediat configurația greșită în platforma lor Firebase.
Cercetătorilor li s-au oferit, de asemenea, recompense pentru buguri din partea a doi proprietari de site-uri. Cu toate acestea, au refuzat să comenteze valoarea recompenselor, spunând doar că le-au acceptat și că nu au fost mari.
Unele organizații au fost contactate prin intermediul canalului lor de suport pentru clienți, dar răspunsul a fost departe de profesional.
În cazul unei rețele de jocuri de noroc indoneziene, care administrează nouă site-uri web, cercetătorii s-au confruntat cu ironii atunci când au raportat problema și au indicat ghiduri pentru remedierea acesteia.
Întâmplător, aceeași companie a reprezentat cel mai mare număr de înregistrări ale conturilor bancare expuse (8 milioane) și parole în text clar (10 milioane).
Conform unuia dintre cercetători, compania este situată în Indonezia și are un profit anual de 4 milioane de dolari.
Scanarea internetului, parsarea datelor brute și organizarea acestora a durat aproximativ o lună și procesul nu a decurs fără probleme de la început până la sfârșit.
Inițial, au rulat scanarea folosind un script Python construit de MrBruh pentru a verifica site-urile web sau bundle-urile lor de JavaScript pentru variabile în configurațiile Firebase.
Consumul mare de memorie a făcut scriptul nepotrivit pentru sarcini și a fost înlocuit cu o variantă în Golang scrisă de Logykk, care a durat mai mult de două săptămâni pentru a finaliza scanarea internetului.
Noul script a scanat mai mult de cinci milioane de domenii conectate la platforma Firebase a Google pentru servicii de calcul în cloud și dezvoltare de aplicații.
Pentru a automatiza verificarea permisiunilor de citire în Firebase, echipa a folosit un alt script de la Eva care ar fi explorat site-ul sau JavaScript-ul său pentru acces la colecții Firebase (baze de date NoSQL Cloud Firestore).
Numărul total de înregistrări descoperite de cercetători în bazele de date configurate greșit este de 223.172.248. Dintre acestea, 124.605.664 de înregistrări sunt legate de utilizatori; restul reprezintă date asociate cu organizații și testele lor.
În ciuda numărului mare de înregistrări expuse, cercetătorii avertizează că cifra este conservatoare și suma este probabil mai mare.
Scanarea internetului pentru PII expuse din instanțe Firebase configurate greșit este un urmăritor al unui alt proiect pe care cercetătorii l-au efectuat acum două luni, când, din cauza problemelor de configurare greșită, au obținut permisiuni de administrator și apoi „superadmin” pe o instanță de Firebase folosită de Chattr, o soluție de software de angajare alimentată de IA.
Chattr este folosit de multe lanțuri mari de restaurante rapide din Statele Unite, cum ar fi KFC, Wendy’s, Taco Bell, Chick-fil-A, Subway, Arby’s, Applebee’s și Jimmy John’s, pentru angajarea forței lor de muncă.
În timp ce rolul de administrator în tabloul de bord Firebase al lui Chattr permitea vizualizarea informațiilor sensibile legate de persoanele care încearcă să obțină un loc de muncă într-un lanț de restaurante rapide, poziția de „superadmin” permitea accesul la contul unei companii și acționa în numele acesteia pentru anumite sarcini, inclusiv deciziile de angajare.
Cercetătorii au dezvăluit, de asemenea, responsabil vulnerabilitatea către Chattr, care a remediat problema, dar nu a mai răspuns la emailuri ulterioare.
Wyze expune datele utilizatorilor prin clusterul ElasticSearch nesecurizat
200.000 de înregistrări ale utilizatorilor Marketplace de pe Facebook au fost scurse pe un forum de hacking
AT&T spune că datele scurse ale 70 de milioane de persoane nu provin de la sistemele sale
Un nou atac acustic fura date din apăsările de taste cu o precizie de 95%
Nissan confirmă că un atac de tip ransomware a expus datele a 100.000 de persoane
Leave a Reply