数百家网站错误配置Google Firebase暴露1.25亿条用户记录
2024年3月20日,安全研究人员警告说,数百家网站错误配置了Google Firebase泄露了超过1.25亿条用户记录,其中包括明文密码。三位使用mrbruh、xyzeva和logykk等网络昵称的安全研究人员解释说,这一切都源于对Chattr的黑客攻击,Chattr是一个人工智能招聘系统,为美国多家机构提供服务,其中包括Applebee's、Chick-fil-A、KFC、Subway、Taco Bell和Wendy's等快餐连锁店。
Chattr的Firebase实现中存在一个弱点,使得研究人员可以通过注册新用户获得数据库的全部权限。他们可以访问姓名、电话号码、电子邮件地址、某些账户的明文密码、机密信息等。受影响的个人包括员工、特许经营经理和求职者。
通过创建一个新的管理账户,研究人员可以访问管理仪表板,该仪表板提供了更多的系统访问权限,包括退款选项。此外还发现了一种额外的"幽灵"模式,可以访问账单信息,完全控制用户账户,还可以选择雇人。
Chattr于1月10日,即研究人员报告一天后解决了这一问题。
接下来,研究人员开始识别通过配置错误的Firebase实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含8000多万个姓名、1亿多个电子邮件地址、3300多万个电话号码和2000多万个密码,以及2700多万个账单信息条目。
不过,据研究人员称,被曝光的记录总数可能要高得多。受影响的网站包括:暴露了2700万用户数据的学习管理系统SilidLMS、暴露了2200万用户详细信息的冷电话生成器LeadCarrot、暴露了1400万个姓名和1300万个电子邮件的餐厅业务管理和PoS应用程序MyChefTool,以及暴露了约800万个银行账户详细信息的由九个网站组成的在线赌博网络。
研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够通过。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏。
相关阅读
李强签署国务院令公布《中华人民共和国消费者权益保护法实施条例》附全文