Tre ricercatori di sicurezza informatica hanno scoperto quasi 19 milioni di password in chiaro esposte sull’Internet provenienti da istanze configurate in modo errato di Firebase, una piattaforma di Google per l’hosting di database, il cloud computing e lo sviluppo di app. Sono stati scansionati più di cinque milioni di domini e trovati 916 siti web di organizzazioni che non avevano abilitato regole di sicurezza o che le avevano impostate in modo errato. Inoltre, sono stati individuati oltre 125 milioni di record sensibili di utenti, inclusi e-mail, nomi, password, numeri di telefono e informazioni di fatturazione con dettagli bancari.
I ricercatori (Logykk, xyzeva/Eva e MrBruh) hanno iniziato a cercare sul web pubblico informazioni di identificazione personale (PII) esposte tramite istanze vulnerabili di Firebase. Per ogni database esposto, lo script di Eva, Catalyst, ha controllato il tipo di dati disponibili ed ha estratto un campione di 100 record.
Tutti i dettagli sono stati organizzati in un database privato che offre una panoramica dei numeri delle informazioni sensibili degli utenti che le aziende espongono a causa di impostazioni di sicurezza inadeguate:
- Nomi: 84.221.169
- E-mail: 106.266.766
- Numeri di telefono: 33.559.863
- Password: 20.185.831
- Informazioni di fatturazione (coordinate bancarie, fatture, ecc.): 27.487.924
Per le password il problema peggiora perché il 98% di esse, ovvero 19.867.627 per l’esattezza, sono in chiaro.
La scansione di Internet alla ricerca di PII esposte da istanze Firebase configurate in modo errato è il seguito di un altro progetto condotto dai ricercatori due mesi fa, quando, a causa di problemi di configurazione errata, hanno ottenuto i permessi di amministratore e poi di “superadmin” su un’istanza di Firebase utilizzata da Chattr, una soluzione software per le assunzioni basata sull’intelligenza artificiale.
Mentre il ruolo di amministratore nella dashboard Firebase di Chattr consentiva di visualizzare informazioni sensibili relative a individui che cercavano di ottenere un lavoro in una catena di fast food, la posizione di “superadmin” dava accesso all’account di un’azienda e agiva per suo conto per determinate attività, comprese le decisioni di assunzione.
Questo per ricordare quanto un sistema particolarmente sicuro possa diventare estremamente vulnerabile in pochi secondi per via di una misconfiguration (malconfigurazione) relativa alle impostazioni di rete o del server che ospita le informazioni.