19 milhões de senhas descobertas em bases de dados do Firebase mal configuradas
Um grupo de investigadores revelou terem descoberto mais de 19 milhões de passwords em texto plano, que estariam expostas em bases de dados incorretamente configuradas do Firebase, plataforma da Google para armazenamento de bases de dados no desenvolvimento de apps.
Os investigadores revelaram ter analisado mais de 5 milhões de domínios, sendo que 916 sites de entidades não teriam qualquer proteção, estando a expor publicamente dados de acesso em texto plano para a Internet.
Foram encontrados mais de 125 milhões de dados sensíveis, incluindo emails, nomes, passwords, números de telefone e outra informação pessoal.
Os investigadores afirmam que falhas na configuração das bases de dados do Firebase pelas entidades estariam a permitir que qualquer utilizador fosse capaz de ler os conteúdos das mesmas, e eventualmente de aceder aos seus dados.
Uma grande maioria das bases de dados teriam ainda a capacidade de escrita ativa, o que permite adulterar estes conteúdos livremente, sem controlo pelos administradores das bases de dados.
Embora as bases de dados tivessem várias informações sensíveis, as senhas são certamente uma das mais perigosas, ainda mais quando 98% das mesmas estariam inteiramente disponíveis em formato de texto plano, sem qualquer encriptação. E mesmo as encriptadas poderiam ser rapidamente contornadas.
Embora os investigadores tenham informado as empresas afetadas, a grande maioria não terá respondido adequadamente à situação. No espaço de 13 dias, os investigadores enviaram 842 emails para as entidades afetadas e com bases de dados visíveis publicamente, contendo informações de como corrigir o problema.
Apenas 1% dos administradores das mesmas responderam ao pedido e resolveram a situação. A grande maioria foi simplesmente ignorada, e uma entidade terá mesmo respondido de forma pouco profissional, brincando com a situação apresentada pelos investigadores pelos seus meios de contacto oficiais.
Duas entidades ofereceram ainda pagamentos associados com a descoberta deste bug, mas os investigadores não revelaram as quantias associadas – embora tenham indicado que seriam valores relativamente pequenos.
Os investigadores recomendam que todos os administradores de bases de dados do Firebase realizem a verificação das suas configurações de segurança, com vista a garantir que possuem os dados corretamente otimizados e seguros.