Hundrevis av nettsider lakk data: «Firebase er lett å sette opp feil»

Penetrasjonstestere advarer etter at 900 nettsider lakk data om millioner av brukere på grunn av feilkonfigurert Firebase.

Firebase kan være enkelt å sette opp feil, mener sikkerhetsfolk. 📸: Firebase
Firebase kan være enkelt å sette opp feil, mener sikkerhetsfolk. 📸: Firebase Vis mer

Minst 900 nettsider som bruker Googles skybaserte databasetjeneste Firebase har lekket data, inkludert personlig informasjon og påloggingsinformasjon. Det skriver The Register.

Årsaken til at sensitive data har blitt tilgjengelig er, ifølge tre penetrasjonstestere som kaller seg mrbruh, xyzeva og logykk, feil konfigurasjon av Firebase.

– Firebase tillater enkel feilkonfigurering av sikkerhetsregler med ingen advarsler, skriver de tre.

Innlegget er datert 23. desember 2023 – men har såvidt vi vet ikke vært omtalt i media før The Register skrev om saken nå.

Ikke første gang

Sikkerhetsekspertene har tidligere avslørt en feil i den AI-baserte bemanningstjenesten Chattr. Feilen skyldtes dårlig konfigurering av Firebase, noe som gjorde at de gjennom Firebase sin registreringsløsning klarte å opprette en ny bruker med både lese- og skriverettigheter til databasen.

Kunne det tenkes at flere nettsider hadde gjort samme tabbe? De tre bestemte seg etter denne avsløringen for å gjennomføre et søk på tvers av hele internett på jakt etter andre nettsider med samme sårbarhet.

Etter at skanneprogramvaren deres hadde kjørt i mellom to og tre uker, hadde de gjennomsøkt 5,2 millioner domener og endte til slutt opp med en liste med lekkede data fra mer enn 900 nettsider.

Listen inneholdet 125 millioner "poster" med 85 millioner navn, 106 millioner e-post-adresser, 34 millioner telefonnumre, 20 millioner passord og 27 millioner tilfeller av betalingsinformasjon.

Varslet

Penetrasjonstesterne skriver at de faktiske tallene antagelig er større. De brukte to uker med å prøve å varsle eierne av 842 av nettsidene – der 85 prosent av e-postene gikk igjennom.

24 prosent av nettsidene rettet Firebase-feilkonfigureringen etter å ha blitt varslet om saken.

The Register skriver for øvrig at konfigurasjonstabber som dette skjedde ofte også med AWS, inntil AWS for et par år siden bestemte seg for å gjøre standardinnstillingene sikrere slik at brukerne ikke like lett kunne gjøre feil.