Drei Sicherheitsforscher entdeckten fast 19 Millionen im Klartext gespeicherte Passwörter, die durch falsch konfigurierte Firebase-Instanzen, eine von Google bereitgestellte Plattform für Datenbankhosting, Cloud Computing und App-Entwicklung, im öffentlichen Internet preisgegeben wurden.
Die Forscher, die mehr als fünf Millionen Domänen durchsuchten, stellten fest, dass 916 Websites von Organisationen entweder gar keine Sicherheitsregeln aktiviert hatten oder diese fehlerhaft konfiguriert waren. Dabei wurden mehr als 125 Millionen sensible Benutzerdatensätze gefunden, darunter E-Mails, Namen, Passwörter, Telefonnummern und Abrechnungsinformationen mit Bankdaten.
Millionen von Passwörtern im Klartext ausgesetzt: Die Forscher begannen mit der Suche nach im öffentlichen Web freigelegten personenbezogenen Daten (PII), die durch anfällige Firebase-Instanzen preisgegeben wurden. Sie entdeckten Firebase-Instanzen, die entweder gar keine Sicherheitsregeln hatten oder falsch konfiguriert waren und Lesezugriff auf Datenbanken gewährten. Unter den Daten befanden sich auch Bankinformationen.
Für jeden freigelegten Datensatz prüfte das Skript Catalyst von Eva, welche Art von Daten verfügbar war, und extrahierte eine Stichprobe von 100 Datensätzen. Alle Details wurden in einer privaten Datenbank organisiert, die einen Überblick über die sensiblen Benutzerinformationen bietet, die Unternehmen aufgrund unsachgemäßer Sicherheitseinstellungen preisgeben:
- Namen: 84.221.169
- E-Mails: 106.266.766
- Telefonnummern: 33.559.863
- Passwörter: 20.185.831
- Abrechnungsinformationen (Bankdaten, Rechnungen usw.): 27.487.924
Von den Passwörtern waren 98% oder genau 19.867.627 im Klartext gespeichert. Die Forscher versuchten, alle betroffenen Unternehmen über unsachgemäß gesicherte Firebase-Instanzen zu informieren und versendeten 842 E-Mails über 13 Tage. Obwohl nur 1% der Site-Betreiber antwortete, behob ein Viertel der benachrichtigten Site-Administratoren die Fehlkonfiguration in ihrer Firebase-Plattform.
Die Forscher stießen auch auf eine indonesische Glücksspielnetzwerk-Website, die 8 Millionen Bankkontensätze und 10 Millionen Klartext-Passwörter preisgab. Insgesamt entdeckten die Forscher in falsch konfigurierten Datenbanken 223.172.248 Datensätze, von denen 124.605.664 Datensätze Benutzer betrafen.
Dieser Vorfall unterstreicht die Bedeutung einer korrekten Konfiguration und Sicherheitsüberprüfung von Cloud-Diensten, um sensible Daten vor unbefugtem Zugriff zu schützen.