Três pesquisadores de cibersegurança descobriram quase 19 milhões de senhas em texto simples expostas na internet pública por instâncias mal configuradas do Firebase, uma plataforma do Google para hospedagem de bancos de dados, computação em nuvem e desenvolvimento de aplicativos.
O trio analisou mais de cinco milhões de domínios e encontrou 916 sites de organizações que não tinham regras de segurança habilitadas ou que as configuraram incorretamente.
Foram encontrados mais de 125 milhões de registros de usuários sensíveis, incluindo emails, nomes, senhas, números de telefone e informações de cobrança com detalhes bancários.
Os pesquisadores (Logykk, xyzeva/Eva e MrBruh) começaram a procurar na web pública por informações pessoalmente identificáveis (PII) expostas por meio de instâncias vulneráveis do Firebase.
Eva informou ao BleepingComputer que encontraram instâncias do Firebase que não tinham regras de segurança ou estavam configuradas incorretamente, permitindo o acesso de leitura a banco de dados.
"A maioria dos sites também tinha habilitado a escrita, o que é ruim", disse Eva, acrescentando que entre eles eles também encontraram um banco.
Para cada banco de dados exposto, o script do Eva, Catalyst, verificou o tipo de dados disponíveis e extraiu uma amostra de 100 registros.
Todos os detalhes foram organizados em um banco de dados privado que oferece uma visão geral em números das informações sensíveis do usuário que as empresas expõem devido a configurações de segurança inadequadas:
Nomes: 84,221,169
Emails: 106,266,766
Números de telefone: 33,559,863
Senhas: 20,185,831
Informações de cobrança (Detalhes do banco, faturas, etc): 27,487,924
Para as senhas, o problema se agrava porque 98% delas, ou 19,867,627 para ser exato, estão em texto simples.
Eva nos disse que as empresas devem ter se "esforçado ao máximo para armazenar [o password]" em texto simples, pois o Firebase possui uma solução de identidade de ponta a ponta chamada Firebase Authentication especificamente para processos de login seguro que não expõem senhas de usuários nos registros.
Uma forma de expor senhas de usuário em um banco de dados Firestore é o administrador criar um campo 'password' que armazene os dados em texto simples.
Após analisar os dados das amostras, os pesquisadores tentaram alertar todas as empresas impactadas por instâncias do Firebase inadequadamente protegidas e enviaram 842 emails em 13 dias.
Embora apenas 1% dos proprietários do site tenha respondido, um quarto dos administradores de site notificados corrigiu a má configuração em sua plataforma Firebase.
Os pesquisadores também receberam ofertas de recompensas de bug de dois proprietários de site.
No entanto, eles se recusaram a comentar o valor das recompensas, dizendo apenas que as aceitaram e que não eram grandes.
Algumas organizações foram contatadas por meio de seu canal de suporte ao cliente, mas a resposta estava longe de ser profissional.
No caso de uma rede de jogos de azar indonésia, que gere nove sites, os pesquisadores enfrentaram zombaria ao relatar o problema e apontar a orientação para consertá-lo.
Coincidentemente, a mesma empresa representou o maior número de registros de contas bancárias expostas (8 milhões) e senhas em texto simples (10 milhões).
Segundo um dos pesquisadores, a empresa está sediada na Indonésia e tem um lucro anual de $4 milhões.
A varredura na internet, a análise dos dados brutos e a organização levaram cerca de um mês e o processo não foi tranquilo do começo ao fim.
Inicialmente, eles executaram a varredura usando um script Python construído por MrBruh para verificar sites ou seus pacotes JavaScript por variáveis nas configurações do Firebase.
O alto consumo de memória tornou o script inadequado para as tarefas e foi substituído por uma variante em Golang escrita por Logykk, que demorou mais de duas semanas para terminar de varrer a internet.
O novo script examinou mais de cinco milhões de domínios conectados à plataforma Firebase do Google para serviços de computação em nuvem e desenvolvimento de aplicativos.
Para automatizar a verificação das permissões de leitura no Firebase, a equipe usou outro script da Eva que rastrearia o site ou seu JavaScript para acesso às coleções do Firebase (bancos de dados NoSQL do Cloud Firestore).
O número total de registros que os pesquisadores descobriram em bancos de dados mal configurados é de 223,172,248.
Destes, 124,605,664 registros se referem a usuários; o resto representa dados associados a organizações e seus testes.
Apesar do alto número de registros expostos, os pesquisadores alertam que a figura é conservadora e o valor é provavelmente maior.
A varredura na internet em busca de PII exposto de instâncias mal configuradas do Firebase é um seguimento de outro projeto que os pesquisadores conduziram dois meses atrás, quando, devido a problemas de má configuração, obtiveram permissões de administrador e depois "superadministrador" [1, 2] em uma instância do Firebase used by Chattr, an AI-powered hiring software solution.
O Chattr é usado por muitas grandes redes de fast food nos Estados Unidos, como KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's e Jimmy John's, para contratar sua força de trabalho.
Embora a função de administrador no painel do Firebase do Chattr tenha permitido a visualização de informações sensíveis relacionadas a indivíduos tentando conseguir um emprego em uma rede de fast food, a posição de "superadministrador" deu acesso à conta de uma empresa e agiu em seu nome para certas tarefas, incluindo decisões de contratação.
Os pesquisadores também divulgaram responsavelmente a vulnerabilidade para o Chattr que corrigiu a falha, mas não respondeu a emails posteriores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...