Firebase: 19 milioni di password in chiaro nel servizio di Google
Firebase è una piattaforma di Google che fornisce una serie di servizi Cloud based e strumenti per la creazione e la gestione di applicazioni. Attraverso di essa Moutain View offre una vasta gamma di funzionalità, tra cui database per la sincronizzazione in tempo reale, un sistema di autenticazione degli utenti, hosting, analisi, notifiche push e molto altro.
Fin qui tutto bene se non fosse che nelle scorse ore alcuni ricercatori di sicurezza avrebbero individuato ben 19 milioni di password registrate "in chiaro", per un totale di circa 270 milioni di dati personali. Dopo la segnazione circa il 25% dei progetti coinvolti avrebbe subito le opportune correzioni, vi sarebbe quindi ancora un'ampia superficie di attacco.
??Alert??Misconfigured Firebase instances leaked 19 million plaintext passwords
— Hunter (@HunterMapping) March 21, 2024
? The researchers found Firebase instances that had no security rules at all or were incorrectly configured and permitted read access to databases.
?? 90.4K+Services are found on… pic.twitter.com/wrYtTEpJCz
A livello tecnico la scoperta è stata effettuata grazie ad uno script Golang per la scansione e la lettura dei dati, l'intera operazione avrebbe richiesto circa un mese di tempo perché i domini che fanno riferimento a Firebase sono almeno 5 milioni. L'esposizione dei dati non riguarderebbe solo le credenziali ma anche altri dati come nomi, indirizzi e-mail e numeri di telefono.
Il problema emerso non sarebbe imputabile a Big G ma a scarsa attenzione (se non addirittura grande imperizia) da parte dei titolari dei progetti. La piattaforma mette infatti a disposizione una soluzione chiamata Firebase Authentication che, se utilizzata correttamente, permette di evitare che le informazioni vengano scritte in chiaro.
Diversi dati sarebbero riconducibili alla creazione di un campo del database in cui venivano salvate le password così com'erano, senza l'applicazione di alcuna tecnica di crittografia. è comunque utile segnalare che delle 19 milioni di password in chiaro ben 10 milioni farebbero riferimento ad una società idonesiana che si occupa di scommesse.
