O Firebase é uma plataforma de desenvolvimento e gerenciamento de dados do Google. Hoje, foi anunciado que um erro de configuração foi responsável por vazar dados de milhões de usuários dos seus serviços de aplicativos.
Firebase vaza dados de milhões de usuários
Milhões de dados de usuários vazaram devido a infra-estruturas do Firebase configuradas incorretamente , de acordo com um relatório da Appthority . Cerca de 113 GB de dados de mais de 2.271 bancos de dados foram expostos publicamente por terem sido mal configurados.
O que é a Firebase?
A Firebase é uma oferta de serviço em conjunto com os demais serviços do Google para desenvolvimento de aplicativos e análise de dados obtidos por eles quando alguém utiliza um aplicativo desenvolvido com a Firebase. Ela que foi considerada o SDK de mais rápido crescimento em 2017. O serviço é muito popular entre os principais desenvolvedores do Android. Ele fornece mensagens em nuvem, notificações por push, bancos de dados, análises, publicidade e muito mais que os desenvolvedores podem utilizar, tudo com o suporte dos servidores de alto desempenho do Google. No entanto, parece que muitos desenvolvedores estão abusando dela.
O que vazou?
De acordo com o relatório, a partir de janeiro de 2018, os pesquisadores verificaram aplicativos móveis que utilizam o Firebase para sua funcionalidade de back-end. Depois de analisar um pouco mais de 2,7 milhões de aplicativos iOS e Android, eles descobriram que cerca de 28 mil deles usavam o Firebase. Desses aplicativos, cerca de 3.000 estavam vazando seus dados em um banco publicamente visível que podia ser encontrado ao monitorar a comunicação do aplicativo com um servidor. Além disso, o total de downloads desses 3.000 aplicativos ultrapassou os 620 milhões, sugerindo que algumas aplicações realmente muito populares também são possíveis infratoras. Os tipos de dados que foram vazados são esses:
- 2,6 milhões de senhas e dados de login de usuários
- 4 milhões + registros de PHI (Protected Health Information) (mensagens de bate-papo e detalhes de prescrição)
- 25 milhões de registros de localização GPS
- 50 mil registros financeiros, incluindo transações bancárias, de pagamento e Bitcoin
- 4,5 milhões de tokens de usuário de armazenamento de dados corporativos do Facebook, LinkedIn e do próprio Firebase.
Eu fui uma das vítimas?
No momento, não há como saber se seus dados também vazaram, mas é sempre mais seguro assumir o pior, então devemos tomar todo cuidado. Ao notar qualquer atividade suspeita de qualquer conta de e-mail, rede social ou aplicativo, mude a sua senha.
A Appthority afirma que notificou o Google antes de publicar o relatório, fornecendo a lista de aplicativos afetados junto com os links para os bancos de dados publicamente visíveis.
Só podemos esperar que a lista de aplicativos seja lançada mais tarde, pois atualmente os usuários são deixados no escuro se suas informações são visíveis publicamente ou não. Embora presumivelmente confiáveis, os olhos do Google e dos pesquisadores terão visto os dados dos usuários ao investigar a situação. Recomendamos alterar suas senhas como precaução até descobrirmos mais informações.
