Investigadores de seguridad de dispositivos móviles, han descubierto bases de datos Firebase de miles de aplicaciones móviles de iOS y Android que exponen mas de 100 millones de registros incluyendo contraseñas en texto plano, identificadores de usuarios, ubicaciones y en algunos casos, registros financieros como transacciones bancarias y de criptomonedas.
El servicio Firebase de Google es una de las plataformas de desarrollo back-end más populares para aplicaciones móviles y web que ofrece a los desarrolladores una base de datos en la nube que almacena datos en formato JSON y los sincroniza en tiempo real con todos los clientes conectados.
Los investigadores de Seguridad de la firma Appthority han descubierto en varios desarrollos de software que la conexión a la base de datos está desprotegida dejando a cientos de Gigabytes de información de clientes expuesta a cualquiera que quiera acceder a ella.
Para encontrar esta falla los investigadores revisaron mas de 2.7 millones de aplicaciones y encontraron mas de 3000 App donde 2446 eran Android y 600 eran IOS, donde se filtraban cerca de 2.300 bases de datos con mas de 100 millones de registros.
Los investigadores entregaron un análisis resumido del problema:
- 2.6 millones de contraseñas en texto plano
- 4 millones de registros médicos con chat de prescripciones médicas.
- 25 millones de registros GPS
- 50.000 registros financieros en la cual se incluyen pagos via transerencias bancarias como bitcoin
- 4.5 millones de datos corporativos de Facebook, Linkedin, Firebase
Todo esto está sucediendo en primer lugar porque el servicio Google Firebase no protege los datos del usuario de forma predeterminada, lo que requiere que los desarrolladores implementen explícitamente la autenticación del usuario en todas las filas y tablas de la base de datos para proteger sus bases de datos del acceso no autorizado.
