Piattaforma di Google utilizzata per l’hosting di database, il cloud computing e lo sviluppo di app, purtroppo Firebase è diventata la base di partenza per oltre 19 milioni di password. Cioè sono finite esposte in chiaro su tutto il Web. Sì, ben 19 milioni di password, se non si fosse stati chiari.
A individuare questo errore madornale sono stati tre esperti di sicurezza informatica, che hanno individuato tutte queste password non criptate esposte su Internet da istanze di Firebase configurate erroneamente.
Google Firebase: 19 milioni di password esposte per questo errore
Riporta BleepingComputer, questi tre ricercatori, noti come Logykk, xyzeva/Eva e MrBruh, hanno iniziato a cercare informazioni personali esposte tramite istanze vulnerabili di Firebase su Internet pubblico.
E hanno scoperto che molte di queste istanze non avevano regole di sicurezza adeguate e consentivano l’accesso ai database in lettura e, in alcuni casi, anche in scrittura.
Ma come è successo? In pratica, durante la scansione di oltre cinque milioni di domini, hanno individuato 916 siti web di organizzazioni che avevano disabilitato o configurato erroneamente le regole di sicurezza. Addirittura, racconta Eva a BleepingComputer, i tre dicono di aver trovato istanze Firebase che non avevano alcuna regola di sicurezza o erano configurate in modo errato e consentivano l’accesso in lettura ai database.
Quanti sono i dati finiti in rete?
Complessivamente, sono stati scoperti oltre 125 milioni di record sensibili degli utenti, tra cui email, nomi, password, numeri di telefono e dati di fatturazione, inclusi dettagli bancari. E i ricercatori ritengono che il numero reale di record esposti potrebbe essere ancora più elevato.
Riportiamo di seguito i dati presentati da BleepingComputer:
- Nomi: 84.221.169
- E-mail: 106.266.766
- Numeri di telefono: 33.559.863
- Password: 20.185.831
- Informazioni di fatturazione (coordinate bancarie, fatture, ecc.): 27.487.924
Per le password il problema peggiora perché il 98% di esse, 19.867.627 per l’esattezza, sono in testo semplice.
Quali sono i dati esposti?
Tra le informazioni sensibili esposte, si contano milioni di nomi, email, numeri di telefono, password e dati di fatturazione. Sorprendentemente, il 98% delle password esposte era in testo semplice.
Le aziende sono state avvisate delle configurazioni errate delle loro istanze Firebase tramite 842 email inviate in 13 giorni. Anche se solo l’1% dei proprietari dei siti ha risposto, il 25% di essi ha risolto gli errori di configurazione.
Nonostante i tentativi dei ricercatori di comunicare con le aziende tramite vari canali, alcuni proprietari di siti hanno reagito in modo non professionale. Mentre altri hanno ignorato completamente i messaggi. Tra le vulnerabilità rilevate, spicca il caso di una rete di gioco d’azzardo indonesiana. Essa è responsabile del numero più elevato di record bancari esposti (8 milioni) e di password in chiaro (10 milioni).
Questa ricerca non è nemmeno la prima. Già un loro precedente lavoro i ricercatori avevano scoperto vulnerabilità in un’istanza di Firebase utilizzata da Chattr, un software per le assunzioni utilizzato da diverse catene di fast food negli Stati Uniti. Anche in questo caso, sebbene la vulnerabilità è stata risolta, alcuni problemi di comunicazione sono rimasti irrisolti.
