В недавнем сообщении в блоге исследователи mrbruh, xyzeva и logykk просканировали весь Интернет на наличие раскрытой личной информации (PII), размещенной в неправильно настроенных экземплярах Firebase. Firebase - это облачная серверная платформа и платформа для разработки приложений, предоставляемая Google, на которой пользователи могут размещать службы и базы данных для своих приложений. Однако многие из этих экземпляров настроены неправильно и могут предоставлять значительный объем данных. Первая попытка разобраться в этом была предпринята с помощью сканера Python, разработанного MrBruh, который всего за час поглощал всю память и зависал.
Следующая попытка была предпринята Logykk, который переписал сканер на Go, которому по оценкам потребуется всего 11 дней для сканирования 5,5 миллионов доменов, но фактически на это ушло около трех недель. В конце концов был сгенерирован текстовый файл объемом 550 тыс. строк, в котором команда начала копаться вручную. Это было довольно трудоемким процессом. Однако в итоге было найдено 136 сайтов и 6,2 миллиона записей. Однако эти данные по сути были найдены вручную, и это было далеко не так эффективно, как надеялись. Поэтому команда перешла к использованию более автоматизированного решения, созданного xyzeva, используя короткий список пострадавших сайтов, в котором они смогли найти 124 605 664 записи, включая имена, адреса электронной почты, номера телефонов, пароли и платежную информацию. Однако отмечается, что к приведенным ими цифрам следует относиться с долей скепсиса, поскольку "они вероятно еще больше".
Xyzeva побеседовал с BleepingComputer и отметил, что 98% обнаруженных паролей, а именно 19 867 627, были в виде обычного текста, что вызывает невероятную тревогу.
Когда все было сделано, команда в течение 12 дней разослала 842 электронных письма, чтобы уведомить сайты затронутые проблемой. 85% писем было доставлено, 9% писем отклонено, но в целом 24% владельцев сайтов устранили проблему. Такое соотношение разочаровывает, поскольку оно означает, что администраторы просто самодовольны и даже в некоторой степени потенциально злонамеренны. В сообщении блога также отмечается, что "Firebase позволяет легко и неправильно настраивать правила безопасности без каких-либо предупреждений", поэтому очевидно, что Google тоже есть над чем поработать.
