查看原文
其他

数百家网站错误配置Google Firebase暴露1.25亿条用户记录

2024年3月20日,安全研究人员警告说,数百家网站错误配置了Google Firebase泄露了超过1.25亿条用户记录,其中包括明文密码。三位使用mrbruh、xyzeva和logykk等网络昵称的安全研究人员解释说,这一切都源于对Chattr的黑客攻击,Chattr是一个人工智能招聘系统,为美国多家机构提供服务,其中包括Applebee's、Chick-fil-A、KFC、Subway、Taco Bell和Wendy's等快餐连锁店。

Chattr的Firebase实现中存在一个弱点,使得研究人员可以通过注册新用户获得数据库的全部权限。他们可以访问姓名、电话号码、电子邮件地址、某些账户的明文密码、机密信息等。受影响的个人包括员工、特许经营经理和求职者。

通过创建一个新的管理账户,研究人员可以访问管理仪表板,该仪表板提供了更多的系统访问权限,包括退款选项。此外还发现了一种额外的"幽灵"模式,可以访问账单信息,完全控制用户账户,还可以选择雇人。

Chattr于1月10日,即研究人员报告一天后解决了这一问题。

接下来,研究人员开始识别通过配置错误的Firebase实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含8000多万个姓名、1亿多个电子邮件地址、3300多万个电话号码和2000多万个密码,以及2700多万个账单信息条目。

不过,据研究人员称,被曝光的记录总数可能要高得多。受影响的网站包括:暴露了2700万用户数据的学习管理系统SilidLMS、暴露了2200万用户详细信息的冷电话生成器LeadCarrot、暴露了1400万个姓名和1300万个电子邮件的餐厅业务管理和PoS应用程序MyChefTool,以及暴露了约800万个银行账户详细信息的由九个网站组成的在线赌博网络。

研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够通过。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏。

相关阅读

李强签署国务院令公布《中华人民共和国消费者权益保护法实施条例》附全文

国家金融监督管理总局修订发布《消费金融公司管理办法》

富士通遭黑客攻击 多个系统被感染客户敏感数据泄露

继续滑动看下一个
安全学习那些事儿
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存