Tre ricercatori di sicurezza hanno scoperto quasi 20 milioni di password in chiaro su Firebase, la piattaforma di Google usata per ospitare servizi cloud e lo sviluppo delle app. Numerose istanze non sono state configurate con idonee regole di sicurezza oppure sono state impostate in modo sbagliato. Al momento, solo un quarto dei siti ha corretto il problema.
Oltre 270 milioni di dati personali
I ricercatori hanno impiegato quasi un mese per effettuare la scansione e organizzare i dati in formato leggibile. Utilizzando uno script in Golang è stata effettuata la scansione di oltre 5 milioni di domini connessi a Firebase, mentre un altro script ha rilevato i permessi di lettura. In totale sono stati individuati oltre 223 milioni di record in database non correttamente configurati.
I ricercatori hanno scoperto oltre 270 milioni di dati personali. In dettaglio sono stati esposti pubblicamente su Internet oltre 84,2 milioni di nomi, 106,2 milioni di email, 33,5 milioni di numeri di telefono, 20,2 milioni di password e 27,5 milioni di informazioni di fatturazione (dettagli bancari, ricevute e altri).
Il 98% delle password era in chiaro. Si tratta di una grave disattenzione, considerato che Firebase offre una soluzione di identità end-to-end, denominata Firebase Authentication, che evita la scrittura in chiaro delle password. In pratica, gli amministratori hanno semplicemente creato un campo “password” nel database.
I ricercatori hanno contattato tutte le aziende, inviando 842 email in 13 giorni. Solo l’1% ha risposto, mentre un quarto di esse ha corretto il problema. Alcune hanno risposto in maniera poco professionale. L’addetto all’assistenza clienti di una società di scommesse indonesiana, che gestisce 9 siti, ha risposto con avance sessuali. La società è quella con il maggior numero di password in chiaro (oltre 10 milioni).