Üç siber güvenlik araştırmacısı, veritabanlarını barındırma, bulut bilişim ve uygulama geliştirme amaçlı bir Google platformu olan Firebase'in yanlış yapılandırılmış örnekleri tarafından halka açık internette açığa çıkan 19 milyona yakın düz metin şifreyi keşfetti.
Üçlü, beş milyondan fazla alan adını taradı ve hiçbir güvenlik kuralının etkin olmadığı veya bu kuralları yanlış kuran kuruluşlara ait 916 web sitesi buldu.
E-postalar, isimler, şifreler, telefon numaraları ve banka ayrıntılarıyla birlikte fatura bilgileri de dahil olmak üzere 125 milyondan fazla hassas kullanıcı kaydı bulundu.
Milyonlarca düz metin şifre açığa çıktı
Araştırmacılar (Logykk, xyzeva/Eva ve MrBruh), savunmasız Firebase örnekleri aracılığıyla açığa çıkan kişisel bilgileri (PII) bulmak için halka açık web'de aramaya başladı.
Eva, BleepingComputer'a hiçbir güvenlik kuralı olmayan veya yanlış yapılandırılmış ve veritabanlarına okuma erişimine izin verilen Firebase örnekleri bulduğunu söyledi.
“Sitelerin çoğunda yazma özelliği de mevcuttu, bu da kötüdiyen Eva, bunların arasında bir de banka bulduklarını ifade etti.
Açığa çıkan her veritabanı için Eva'nın Catalyst betiği, mevcut veri türünü kontrol etti ve 100 kayıttan oluşan bir örnek çıkardı.
Tüm ayrıntılar, şirketlerin uygunsuz güvenlik ayarları nedeniyle açığa çıkardığı hassas kullanıcı bilgilerinin sayısına genel bir bakış sunan özel bir veritabanında düzenlenmiştir:
- İsimler: 84.221.169
- E-postalar: 106.266.766
- Telefon Numaraları: 33.559.863
- Şifreler: 20,185,831
- Fatura Bilgileri (Banka bilgileri, faturalar vb.): 27.487.924
Parolalarda sorun daha da kötüleşiyor çünkü parolaların %98'i, yani tam olarak 19.867.627'si düz metin halinde.
Eva bize şirketlerin “mağazacılık konusunda ellerinden geleni yapmış olmaları gerektiğini” söyledi. [the password]” çünkü Firebase, özellikle kayıtlardaki kullanıcı şifrelerini açığa çıkarmayan güvenli oturum açma işlemleri için Firebase Authentication adı verilen uçtan uca bir kimlik çözümüne sahiptir.
Firestore veritabanında kullanıcı şifrelerini açığa çıkarmanın bir yolu, yöneticinin verileri düz metin olarak saklayan bir 'şifre' alanı oluşturmasıdır.
Site sahiplerini uyarma
Örneklerden elde edilen verileri analiz ettikten sonra araştırmacılar, etkilenen tüm şirketleri uygunsuz şekilde korunan Firebase örnekleri konusunda uyarmaya çalıştı ve 13 gün içinde 842 e-posta gönderdi.
Site sahiplerinin yalnızca %1'i yanıt vermesine rağmen, bildirimde bulunan site yöneticilerinin dörtte biri Firebase platformlarındaki yanlış yapılandırmayı düzeltti.
Araştırmacılara ayrıca iki site sahibinden hata ödülü teklif edildi. Ancak ödüllerin değeri hakkında yorum yapmayı reddettiler, sadece ödülleri kabul ettiklerini ve çok büyük olmadığını söylediler.
Bazı kuruluşlarla müşteri destek kanalları üzerinden iletişime geçildi ancak yanıt profesyonel olmaktan uzaktı.
Dokuz web sitesini yöneten bir Endonezya kumar ağı örneğinde, araştırmacılar sorunu bildirirken ve sorunu düzeltmek için rehberlik gösterirken alay konusu oldular.
Tesadüfen aynı şirket, açığa çıkan en fazla sayıda banka hesabı kaydının (8 milyon) ve düz metin şifrelerin (10 milyon) sorumlusuydu.
Araştırmacılardan birine göre şirketin merkezi Endonezya'da bulunuyor ve yıllık kârı 4 milyon dolar.
Toplam 223 milyon açığa çıkan kayıt
İnternetin taranması, ham verilerin ayrıştırılması ve organize edilmesi yaklaşık bir ay sürdü ve süreç baştan sona sorunsuz ilerlemedi.
Başlangıçta taramayı, Firebase yapılandırmalarındaki değişkenler için web sitelerini veya JavaScript paketlerini kontrol etmek üzere MrBruh tarafından oluşturulan bir Python betiği kullanarak çalıştırdılar.
Büyük bellek tüketimi, komut dosyasını görevler için uygunsuz hale getirdi ve bunun yerine, Golang'da Logykk tarafından yazılan ve interneti taramanın tamamlanması iki haftadan fazla süren bir varyantla değiştirildi.
Yeni komut dosyası, arka uç bulut bilişim hizmetleri ve uygulama geliştirme için Google'ın Firebase platformuna bağlı beş milyondan fazla alanı taradı.
Firebase'deki okuma izinlerinin kontrolünü otomatikleştirmek için ekip, Firebase koleksiyonlarına (Cloud Firestore NoSQL veritabanları) erişim için siteyi veya JavaScript'ini tarayacak Eva'nın başka bir komut dosyasını kullandı.
Araştırmacıların yanlış yapılandırılmış veritabanlarında keşfettiği toplam kayıt sayısı 223.172.248'dir. Bunlardan 124.605.664'ü kullanıcılara ait; geri kalanı kuruluşlarla ve bunların testleriyle ilişkili verileri temsil eder.
Açığa çıkan kayıtların çokluğuna rağmen araştırmacılar rakamın ihtiyatlı olduğu ve miktarın muhtemelen daha fazla olduğu konusunda uyarıyor.
Her şey nasıl başladı
Yanlış yapılandırılmış Firebase örneklerinden açığa çıkan kişisel bilgiler için interneti taramak, araştırmacıların iki ay önce yürüttüğü ve yanlış yapılandırma sorunları nedeniyle yönetici ve ardından “süper yönetici” izinlerini aldıkları başka bir projenin devamı niteliğindedir. [1, 2] AI destekli bir işe alım yazılımı çözümü olan Chattr tarafından kullanılan bir Firebase örneğinde.
Chattr, Amerika Birleşik Devletleri'ndeki KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's ve Jimmy John's gibi birçok büyük fast food zinciri tarafından işgücünü işe almak için kullanılıyor.
Chattr'ın Firebase kontrol panelindeki yönetici rolü, bir fast food zincirinde iş bulmaya çalışan kişilerle ilgili hassas bilgilerin görüntülenmesine izin verirken, “süper yönetici” konumu bir şirketin hesabına erişim sağlıyor ve işe alım kararları da dahil olmak üzere belirli görevler için şirket adına hareket ediyordu.
Araştırmacılar ayrıca bu güvenlik açığını sorumlu bir şekilde Chattr'a açıkladılar; Chattr, hatayı düzeltti ancak artık başka e-postalara yanıt vermedi.