Google Firebase раскрыла конфиденциальные данные 125 млн пользователей

Из-за ошибки в конфигурации Google Firebase чувствительные данные минимум 900 сайтов, включая личную информацию пользователей, стали общедоступны в интернете.

В общей сложности было обнаружено не менее 125 миллионов записей пользователей, доступных публично. Среди утекших данных оказались платежная информация и пароли в открытом виде.

Команда исследователей env.fail использовала инструмент сканирования для выявления неправильно настроенных баз данных Firebase на протяжении 2-3 недель, проверив 5,2 миллионов доменов. В итоге были обнаружены открытые данные на более чем 900 сайтах, включая:

• 85 миллионов имен;
• 106 миллионов email-адресов;
• 34 миллионов номеров телефонов;
• 20 миллионов паролей;
• 27 миллионов платежных реквизитов.

Исследователи также оповестили 842 владельца сайтов о найденных проблемах, из которых только 202 (24%) исправили неправильную конфигурацию. Тем не менее, всего 8 владельцев сайтов ответили на уведомления, и лишь 2 владельца предложили вознаграждение за обнаружение уязвимости.

Google Firebase, популярный облачный сервис для хранения данных, предлагает набор правил безопасности для защиты данных. Однако на практике уже не первый раз возникают проблемы с неправильной настройкой правил. Прошлые инциденты включали утечку данных из 4 000 Android-приложений из-за ошибок в реализации Firebase.

Проблемы подобного рода долгое время были характерны для облачных сервисов, включая Amazon AWS , пока компания не решила упростить для клиентов задачу безопасной настройки по умолчанию. Однако, согласно OWASP, неправильная конфигурация безопасности по-прежнему входит в пятерку наиболее распространенных уязвимостей, что подчеркивает необходимость повышения осведомленности о проблемах безопасности среди владельцев веб-ресурсов.