- Cybernews encontrou três aplicativos de identificação com foto mal configurados vazando dados confidenciais do usuário por meio de instâncias do Firebase
- Exposição de e-mails, nomes de usuário, fotos de perfil, coordenadas GPS e tokens de notificação, afetando cerca de 152 mil usuários
- Os hackers já invadiram bancos de dados abertos; os desenvolvedores não estão respondendo apesar das repetidas tentativas de contato
Vários aplicativos móveis que identificavam objetos em fotos estavam vazando informações altamente confidenciais na Internet, e hackers conseguiram detectá-las.
Todos os três aplicativos tinham instâncias do Firebase configuradas incorretamente, resultando em autenticação e controles de acesso insuficientes. Os dados estavam em um banco de dados aberto e incluíam endereços de e-mail de pessoas, nomes de usuário (geralmente incluindo nomes completos), tokens de notificação do Firebase Cloud Messaging (FCM), fotos de perfil e coordenadas GPS.
Você notará que nem todos os usuários do aplicativo foram comprometidos. Provavelmente, isso se deve a recursos opcionais que dependem de uma instância do Firebase mal configurada, portanto, apenas as pessoas que ativaram determinados complementos podem estar em risco.
Hackers sentiram o cheiro deles
De acordo com a Cybernews, os três aplicativos que vazaram dados foram:
- Câmera fotográfica identificadora de raça de cachorro (500 mil downloads, 66.182 usuários afetados)
- Aplicativo Spider Identifier por foto (500 mil downloads, 40.779 usuários afetados)
- Identificador de insetos da Photo Cam (1 milhão de downloads, 45.005 usuários afetados)
A maioria dos dados pode ser usada maliciosamente para phishing e roubo de identidade, mas as coordenadas GPS tornam esta violação ainda pior porque podem revelar onde as pessoas vivem, onde vão trabalhar e quais são os seus hábitos diários.
Os pesquisadores da Cybernews disseram que encontraram uma entrada de prova de conceito nos bancos de dados, que é “um marcador comum deixado por robôs automatizados que vasculham a Internet em busca de bancos de dados inseguros”. Em outras palavras, os hackers já encontraram os arquivos.
“O número de instalações de aplicativos é significativo. É uma métrica comum que os usuários usam para avaliar a popularidade do aplicativo, o que também é um fator de confiança”, disse a equipe de pesquisa da Cybernews. “Esses vazamentos de dados mostram que confiar apenas na reputação de um aplicativo não é suficiente para medir sua segurança”.
Infelizmente, os pesquisadores não conseguiram entrar em contato com os desenvolvedores do aplicativo, apesar de contatá-los várias vezes.
Através notícias cibernéticas
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
