La fuga di dati sensibili di milioni di utenti a causa di un errore fatale di Firebase
Un team di esperti in cybersecurity ha individuato un grave rischio di sicurezza: 19 milioni di password esposte a causa di configurazioni errate di Firebase, una piattaforma di Google utilizzata soprattutto per l’hosting di database e lo sviluppo di applicazioni.
Errori che si pagano caro
Oltre alle password, sono stati scoperti più di 125 milioni di dati sensibili, come email, nomi, numeri di telefono e informazioni bancarie, a causa di istanze Firebase mal configurate. Questa vulnerabilità, sfruttabile per accedere ai database in scrittura, ha posto a rischio la privacy e la sicurezza degli utenti che ne facevano uso.
Gli esperti, conosciuti online come Logykk, xyzeva/Eva e MrBruh, hanno condotto una ricerca su oltre cinque milioni di domini, identificando 916 piattaforme web di organizzazioni e aziende con regole di sicurezza mancanti o impostate in modo errato, portando alla luce, quindi, un vero e proprio disastro tecnologico alla sicurezza.
Durante il mese di ricerca, sono stati scoperti complessivamente 223 milioni di record esposti, di cui oltre 124 milioni relativi ai dati degli utenti. Si ritiene inoltre che questa cifra sia solo la punta dell’iceberg, poiché molti casi potrebbero non essere stati ancora individuati.
Particolarmente allarmante è il caso di una rete di gioco d’azzardo indonesiana, che ha esposto ben 8 milioni di record bancari e 10 milioni di password in chiaro. Questa scoperta segue un precedente progetto di ricerca degli stessi esperti, che aveva già evidenziato vulnerabilità in un’istanza Firebase utilizzata da Chattr, un software di assunzione basato sull’intelligenza artificiale impiegato da grandi catene di fast food negli Stati Uniti.
La sicurezza in Firebase e oltre
L’indagine sottolinea l’importanza cruciale di configurare correttamente le piattaforme cloud e di adottare pratiche di sicurezza rigorose per proteggere le informazioni degli utenti. Sollecita inoltre un’azione immediata da parte delle organizzazioni interessate per risolvere le vulnerabilità scoperte e garantire la sicurezza dei dati sensibili contro eventuali malfattori sempre in cerca della prossima vittima.
