.
Pelo menos 900 sites criados com o Firebase do Google, um banco de dados em nuvem, foram configurados incorretamente, deixando credenciais, informações pessoais e outros dados confidenciais expostos inadvertidamente à Internet pública, segundo pesquisadores de segurança.
Entre esses sites, estima-se que pelo menos 125 milhões de registros de usuários sejam acessíveis publicamente, incluindo informações de cobrança e senhas em texto simples. Resumindo: se você estiver usando o Firebase do Google, certifique-se de que ele esteja configurado com segurança para evitar o vazamento de informações privadas para o resto do mundo.
Firebase é um serviço de back-end popular que sites e aplicativos usam para armazenar dados na nuvem. Ele fornece regras de segurança para manter os dados seguros, pelo menos em teoria.
Na prática, lembramos de um incidente em que 24.000 aplicativos Android expuseram dados por meio de implementações desastradas do Firebase. De acordo com um engenheiro de software que trabalhou no Google e como consultor do Firebase, “as preocupações com as regras de segurança sempre atormentaram o produto”.
Esse desenvolvedor não respondeu imediatamente a um pedido de comentários adicionais, nem o Google.
Os testadores de penetração, conhecidos pelos nomes mrbruh, xyzeva e logykk, identificaram anteriormente credenciais expostas na implementação do Firebase do serviço de contratação de IA chattr. Eles encontraram uma maneira de usar o recurso de registro do Firebase para criar um novo usuário com privilégios administrativos de leitura e gravação.
Após o incêndio na lixeira, o trio cibernético decidiu realizar uma pesquisa em toda a Internet por bancos de dados Firebase mal configurados usando um programa de verificação convertido de Python em Go para controlar um vazamento de memória.
O código renovado levou entre duas e três semanas para vasculhar 5,2 milhões de domínios e acabou resultando em uma lista de dados obtidos em mais de 900 sites.
Ao todo, a lista incluía quase 125 milhões de registros, com 85 milhões de nomes, 106 milhões de endereços de e-mail, 34 milhões de números de telefone, 20 milhões de senhas e 27 milhões de detalhes de cobrança.
Os pesquisadores, que observam que os números reais são provavelmente maiores, dizem que passaram duas semanas enviando notificações por e-mail para 842 sites, dos quais 85% foram enviados e 9% foram rejeitados.
A partir disso, eles dizem que 24% dos proprietários de sites corrigiram a configuração incorreta, embora apenas 1% dos proprietários de sites tenham enviado de volta e apenas 0,2% dos proprietários de sites – apenas dois deles – tenham oferecido alguma forma de recompensa por bug.
Acidentes de configuração desse tipo foram comuns por muitos anos na AWS, até que a AWS decidiu que ajudaria os clientes a evitar um tiro no próprio pé por meio de configurações padrão mais seguras.
Ainda é um problema, no entanto. De acordo com a OWASP, a configuração incorreta de segurança ocupa o quinto lugar entre as dez vulnerabilidades mais comuns, com uma taxa média de incidência de 4,51%. ®
.
