- Cybernews encontrou três aplicativos de identificação com foto mal configurados vazando dados confidenciais do usuário por meio de instâncias expostas do Firebase
- Violação de e-mails, nomes de usuário, fotos de perfil, coordenadas GPS e tokens de notificação expostos, afetando cerca de 152 mil usuários
- Os hackers já acessaram os bancos de dados abertos; os desenvolvedores permanecem sem resposta apesar das repetidas tentativas de contato
Múltiplo aplicativos móveis que objetos identificados em fotografias estavam vazando informações altamente confidenciais na internet, e hackers conseguiram detectá-las.
Todos os três aplicativos tinham instâncias do Firebase configuradas incorretamente, resultando em autenticação e controles de acesso insuficientes. Os dados estavam em um ambiente aberto banco de dadose incluía endereços de e-mail de pessoas, nomes de usuário (geralmente incluindo nomes completos), tokens de notificação do Firebase Cloud Messaging (FCM), fotos de perfil e coordenadas GPS.
Você notará que nem todos os usuários dos aplicativos foram comprometidos. Provavelmente, isso se deve a recursos opcionais que dependem de instâncias mal configuradas do Firebase, portanto, é possível que apenas as pessoas que ativaram determinados extras tenham sido comprometidas.
Hackers os farejaram
De acordo com Notícias cibernéticasos três aplicativos com vazamento de dados foram:
- Câmera fotográfica identificadora de raça de cachorro (500 mil downloads, 66.182 usuários afetados)
- Aplicativo Spider Identifier por foto (500 mil downloads, 40.779 usuários afetados)
- Identificador de insetos por Photo Cam (1 milhão de downloads, 45.005 usuários afetados)
A maioria dos dados pode ser usada maliciosamente para phishing e roubo de identidademas as coordenadas GPS tornam esta violação ainda pior, pois podem descobrir onde as pessoas vivem, onde vão trabalhar e quais são os seus hábitos diários.
Os pesquisadores da Cybernews disseram que encontraram uma entrada de Prova de Conceito nos bancos de dados, que é um “marcador comum deixado por bots automatizados que examinam a Internet em busca de bancos de dados inseguros”. Em outras palavras – os hackers já encontraram os arquivos.
“O número de instalações de aplicativos é significativo. É uma métrica comum na qual os usuários confiam para avaliar a popularidade do aplicativo, o que também é um fator de confiança”, disse a equipe de pesquisa da Cybernews. “Esses vazamentos de dados mostram que confiar apenas na popularidade de um aplicativo para avaliar sua segurança não é suficiente.”
Infelizmente, os pesquisadores não conseguiram entrar em contato com os desenvolvedores dos aplicativos, apesar de entrarem em contato em diversas ocasiões.
Através Notícias cibernéticas
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.