Milhões de senhas, locais de GPS e registros financeiros estão desprotegidos à vista de todos – e o seu pode ser um deles.

Pesquisadores da Appthority, uma empresa de segurança móvel, verificaram aplicativos para dispositivos móveis Android e iOS que usavam bancos de dados do Firebase para armazenar os dados de seus usuários. Para os não iniciados, o Firebase é uma plataforma popular de back-end baseada na nuvem para aplicativos móveis e da web. A empresa foi adquirida pelo Google em 2014, por isso, encontrou uma base de usuários real entre alguns dos principais desenvolvedores do Android.

O que os pesquisadores de segurança móvel descobriram é alarmante

Em seu relatório, o Appthority analisou mais de 2,7 milhões de aplicativos móveis no iOS e no Android. Os pesquisadores descobriram que dos 27.227 aplicativos para Android e 1.275 para iOS que armazenam dados de seus aplicativos nos sistemas de banco de dados de back-end do Firebase, 3.046 desses aplicativos salvaram dados em 2.271 bancos de dados não protegidos que literalmente qualquer pessoa poderia acessar. Dentre esses aplicativos que armazenam esses dados abertamente para qualquer um ver, 2.446 estão no Android e os 600 restantes são aplicativos iOS.

Então, o que exatamente está sendo armazenado à vista de todos aqui para o mundo ver? Entre todos esses aplicativos vulneráveis, os dados vazados incluem: 2,6 milhões de IDs e senhas de usuário em texto simples, 25 milhões de registros de localização GPS armazenados, 50 mil registros de transações financeiras no aplicativo e mais de 4,5 milhões de tokens de usuário da plataforma de mídia social. Outros dados vazados incluem mais de 4 milhões de registros de PHI (Protect Health Information), que contêm bate-papos privados e registros de prescrição.

No total, mais de 100 milhões de registros individuais, abrangendo um total de mais de 113 gigabytes de dados, compõem as informações acessíveis envolvidas na violação. Os aplicativos Android afetados foram baixados mais de 620 milhões de vezes na Google Play Store.

Quão fácil é para qualquer um ter acesso a esses dados pessoais? De acordo com o relatório, os backends vulneráveis ​​do Firebase não são protegidos por firewalls ou sistemas de autenticação. Para obter acesso a esses bancos de dados não protegidos, um “hacker” simplesmente teria que inserir “/.json” com um nome de banco de dados em branco no final do nome do host (por exemplo, “https://appname.firebaseio.com/ .json ”).

Pesquisadores apontam que entraram em contato com o Google antes de divulgar este relatório. Eles dizem que também forneceram ao Google uma lista completa dos aplicativos não seguros, além de entrar em contato com os próprios desenvolvedores de aplicativos. Embora a lista de aplicativos vulneráveis ​​não tenha se tornado pública, eles incluem aplicativos em categorias que variam de mensagens e finanças a saúde e viagens. As empresas ou criadores por trás desses aplicativos afetados estão localizados em todo o mundo.

Este incidente, juntamente com inúmeros outros, continua a provar que ainda resta muito a desejar das empresas que armazenam os nossos dados pessoais mais privados.

COMPARTILHE

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

cinco + dezessete =