又一天,又有一个配置错误的数据库将敏感的用户信息泄露到互联网上——但这一次,影响很大——超过900个网站使用Google的云数据库服务Firebase。
据TheRegister报道,化名为mrbruh、xyzeva和logykk的研究人员最近发现,人工智能招聘服务“chattr”对Firebase的实施不佳,结果,他们得以创建一个新的管理员帐户并访问存储在那里的敏感数据。
这促使他们使用定制工具扫描互联网以寻找类似情况。他们发现“超过900个”网站泄露了大约1.25亿条敏感数据记录。
这些记录包括8500万个姓名、1.06亿个电子邮件地址、3400万个电话号码、2000万个密码和2700万个账单详细信息。足以应对多年的电信欺诈、身份盗窃攻击等。所有数据都可以以明文形式获取。
研究人员补充说,虽然调查结果听起来很糟糕,但实际情况可能更糟,因为他们很可能没有发现所有配置错误的网站。在发现后的几周内,他们设法联系了842个网站,其中85%显然收到了警告。9%的电子邮件被退回。
在收到通知的用户中,24%做出了反应并解决了问题,1%联系了研究人员,0.2%提供了漏洞赏金。
Firebase是一项后端服务,为网站和应用提供云数据存储和开发工具。据6sense称,Firebase今年拥有超过47,000名客户,其中绝大多数(54.25%(18,613名))来自美国。其一些知名客户包括阿里巴巴、Lyft、Venmo和《经济学人》。