Onderzoekers op het gebied van cyberbeveiliging hebben onlangs een opzienbarend beveiligingslek ontdekt waarbij bijna 19 miljoen wachtwoorden in plaintext via internet zichtbaar waren. De oorzaak bleken verkeerd geconfigureerde instanties van Firebase, een platform van Google voor het hosten van databases en app-ontwikkeling.
De drie onderzoekers voerden een uitgebreide scan uit van meer dan vijf miljoen domeinen. Ze ontdekten 916 websites met inadequate beveiligingsinstellingen op Firebase. Door deze verkeerde instellingen was het mogelijk toegang te krijgen tot gevoelige gebruikersinformatie waaronder e-mails, namen, telefoonnummers en factuurgegevens, waaronder bankgegevens, meldt BleepingComputer.
Het onderzoek onthulde bijna 125 miljoen gevoelige gebruikersrecords. Meer dan 98 procent van de wachtwoorden werd in plaintext opgeslagen, ondanks het feit dat Firebase beveiligde aanmeldingsoplossingen biedt.
Het trio waarschuwde de getroffen bedrijven, maar de reacties varieerden sterk. Sommige repareerden het probleem snel, terwijl andere nalatig of zelfs spottend reageerden. Een Indonesisch goknetwerk dat negen websites beheert, reageerde lacherig ondanks het feit dat het verantwoordelijk was voor een aanzienlijk deel van de blootgelegde records.
In totaal meer dan 223 miljoen records blootgelegd
De onderzoekers gebruikten zelfgebouwde scripts om gegevens te analyseren en kwetsbaarheden te identificeren. Uiteindelijk ontdekten ze meer dan 223 miljoen blootgelegde records, waarvan 124.605.664 herleidbaar waren tot gebruikers. De overige records waren gegevens van organisaties en info over tests die ze hadden uitgevoerd.
Het exposé was geen op zichzelf staand incident, maar een vervolg op een eerder project van de onderzoekers. Eerder hadden ze kwetsbaarheden blootgelegd in de Firebase-configuratie van Chattr, een AI-gestuurde softwareoplossing voor het inhuren van personeel die wordt gebruikt door verschillende grote fastfoodketens in de Verenigde Staten.
Deze beveiligingslekken benadrukken nog eens de noodzaak van robuuste beveiligingsmaatregelen om gevoelige gebruikersgegevens te beschermen in een steeds meer gedigitaliseerd landschap.
Lees meer: Datalekken zetten geen records meer, maar er zijn meer slachtoffers dan ooit
21 uur geleden
