背景圖片來源/rc.xyz NFT gallery on Unsplash

3名安全研究人員近日揭露,他們在網路上掃描配置錯誤的Firebase實例,結果找到了900個網站,它們外洩了超過1億名使用者的帳號資料,包括姓名、電子郵件、電話號碼、密碼與帳單資訊等。

關於這次大規模Firebase配置錯誤的發現,是由代號為Mrbruh、xyzeva、Logykk的3名研究人員所共同揭露。之所以會有這次大規模研究,起因是MrBruh今年1月針對數百家AI新創進行掃描,揣測這些業者可能會為了儘快推出產品而忘了實施適當的安全規則,促使MrBruh打造了腳本程式以尋找外洩的Firebase憑證,結果卻發現AI招募系統Chattr.ai的配置錯誤,使得他只要自己註冊一個Firebase帳號就能存取Chattr.ai後端的Firebase資料庫,還具備讀取及寫入的完整權限。

Chattr.ai幫美國許多連鎖餐廳尋找工讀生,包括Applebees、肯德基、Tacobell及Wendys等,MrBruh因而取得了Chattr員工、餐廳加盟店經理,以及求職者的姓名、電話號碼、電子郵件、密碼、門市地點與對話紀錄等。

HackersBait曾經分析此一配置錯誤事件,指出Chattr.ai當初被駭是因為其Firebase配置的驗證與存取控制不足所造成的。

後續mrbruh、xyzeva 與logykk等3名研究人員便決定大規模掃描那些配置錯誤的Firebase資料庫,結果有900個網站仍採用此一危險配置,外洩了1.24億筆的紀錄、8,400萬個姓名、逾1億個電子郵件信箱、3,300萬個電話號碼、逾2,000萬個密碼,以及超過2,700萬個帳單資訊。

其中,教學管理平臺Silid LMS上有2,700萬名用戶的資訊曝光,某一線上賭博網站的800萬個銀行帳戶資料以及1,000萬個明文密碼曝光。

總之,這3名研究人員隨後寄了842封郵件予受影響的網站,當中有85%成功發送,總計只有24%的網站變更了Firebase配置,只有1%回覆了電子郵件,並有兩個網站提供抓漏獎勵。

熱門新聞

Advertisement