3名安全研究人员近日揭露,他们在网路上扫描配置错误的Firebase实例,结果找到了900个网站,它们外泄了超过1亿名使用者的帐号资料,包括姓名、电子邮件、电话号码、密码与帐单资讯等。
这些研究人员是受到另一名安全研究人员MrBruh的启发。MrBruh今年1月针对数百家AI新创进行扫描,揣测这些业者可能会为了尽快推出产品而忘了实施适当的安全规则,促使MrBruh打造了脚本程式以寻找外泄的Firebase凭证,结果却发现AI招募系统Chattr.ai的配置错误,使得他只要自己注册一个Firebase帐号就能存取Chattr.ai后端的Firebase资料库,还具备读取及写入的完整权限。
Chattr.ai帮美国许多连锁餐厅寻找工读生,包括Applebees、肯德基、Tacobell及Wendys等,MrBruh因而取得了Chattr员工、餐厅加盟店经理,以及求职者的姓名、电话号码、电子邮件、密码、门市地点与对话纪录等。
HackersBait曾经分析此一配置错误事件,指出Chattr.ai当初被骇是因为其Firebase配置的验证与存取控制不足所造成的。
MrBruh攻陷Chattr.ai的消息曝光后,暱称为mrbruh、xyzeva 与logykk等3名研究人员便决定大规模扫描那些配置错误的Firebase资料库,结果有900个网站仍采用此一危险配置,外泄了1.24亿笔的纪录、8,400万个姓名、逾1亿个电子邮件信箱、3,300万个电话号码、逾2,000万个密码,以及超过2,700万个帐单资讯。
其中,教学管理平台Silid LMS上有2,700万名用户的资讯曝光,某一线上赌博网站的800万个银行帐户资料以及1,000万个明文密码曝光。
总之,这3名研究人员随后寄了842封邮件予受影响的网站,当中有85%成功发送,总计只有24%的网站变更了Firebase配置,只有1%回复了电子邮件,并有两个网站提供抓漏奖励。