Три исследователя кибербезопасности обнаружили около 19 млн паролей в текстовом виде, которые оказались в открытом доступе из-за неправильно настроенных экземпляров Firebase, платформы Google для размещения баз данных, облачных вычислений и разработки приложений.
Исследователи просканировали более 5 млн доменов и обнаружили 916 сайтов организаций, которые либо не соблюдали правила безопасности, либо настроили экземпляры Firebase неправильно. Среди них был и банк.
Всего было обнаружено более 125 млн конфиденциальных записей, включая адреса электронной почты, имена, пароли, номера телефонов и платёжную информацию с банковскими реквизитами.
По мнению исследователей, компании, должно быть, «приложили все усилия, чтобы хранить пароли» в виде открытого текста, потому что у Firebase есть комплексное решение для идентификации под названием Firebase Authentication, специально предназначенное для безопасного входа в систему. Таким образом, администраторы, вероятно, создавали в базе данных Firestore отдельное поле «пароль», где хранили данные в виде открытого текста.
Исследователи попытались предупредить все пострадавшие компании и отправили 842 электронных письма за 13 дней. Пока они получили ответ только от 1% владельцев сайтов, а четверть уведомлённых администраторов исправили неправильную конфигурацию Firebase. Ещё две компании выплатили исследователям вознаграждения за обнаружение ошибки. А индонезийская сеть азартных игр неуместно отреагировала на письмо шутками, хотя получает годовую прибыль в размере $4 млн.
Исследователи отмечают, что сканирование Интернета и анализ необработанных данных заняли около месяца. Первоначально они запустили сканирование с помощью скрипта Python для проверки веб-сайтов или их пакетов JavaScript на наличие переменных в конфигурациях Firebase. Однако он потреблял слишком много памяти и был заменён вариантом на Golang.
Чтобы автоматизировать проверку прав на чтение в Firebase, команда использовала другой скрипт от Eva, который сканировал сайт или его JavaScript для доступа к коллекциям Firebase (базам данных Cloud Firestore NoSQL).
Всего исследователи обнаружили в неправильно настроенных базах данных 223 172 248 записей. Из них 124 605 664 записи относятся к пользователям; остальные связаны с организациями и их тестами.
Два месяца назад из-за проблем с неправильной конфигурацией исследователи получили права администратора, а затем «суперадминистратора» на экземпляре Firebase, который использует решение для найма на основе искусственного интеллекта Chattr. С ним работают сети ресторанов KFC, Wendy’s, Taco Bell, Chick-fil-A, Subway, Arby’s, Applebee’s и Jimmy John’s. Должность «суперадминистратора» давала доступ к учётной записи компании и позволяла принимать решения о найме. Исследователи сообщили об уязвимости Chattr, и та устранила её.
