Gửi bình luận
Hủy
Gửi
Hàng triệu mật khẩu, thông tin vị trí GPS, và các bản ghi tài chính đang ở trong tình trạnh không được bảo vệ, có thể bị truy cập bất kỳ lúc nào – và bạn hoàn toàn có thể là một trong số các nạn nhân.
/https://blueprint-api-production.s3.amazonaws.com/uploads/card/image/802139/2a2bcf7a-4bbf-4446-ae04-814dacd7d2fd.jpg)
Công ty bảo mật di động Appthority đã quét hàng triệu ứng dụng Android và iOS vốn dùng cơ sở dữ liệu Firebase để lưu thông tin người dùng. Firebase là nền tảng backend đám mây thông dụng cho ứng dụng web và di động. Công ty này đã bị Google thâu tóm vào năm 2014, do đó nó được một lượng lớn các nhà phát triển Android hàng đầu lựa chọn sử dụng.
Những phát hiện của các nhà nghiên cứu bảo mật di động lại cực kỳ đáng lo ngại.
Hơn 2,7 triệu ứng dụng di động iOS và Android đã được Appthority phân tích. Các nhà phân tích phát hiện ra rằng 27.227 ứng dụng Android và 1.275 ứng dụng iOS lưu trữ dữ liệu trong các hệ thống cơ sở dữ liệu của Firebase, tuy nhiên trong số đó, có đến 3.046 ứng dụng (2.446 ứng dụng Android, 600 ứng dụng iOS) lưu trữ dữ liệu trong 2.271 cơ sở dữ liệu không được bảo mật mà về lý thuyết, bất kỳ ai cũng có thể truy cập được!
Vậy cụ thể loại dữ liệu nào đang được lưu trữ một cách không cẩn thận như thế? Các ứng dụng có khả năng làm rò rỉ các dữ liệu bao gồm: 2,6 triệu ID người dùng và mật mã được lưu dưới định dạng văn bản thuần, 25 triệu bản ghi vị trí GPS, 50 ngàn bản ghi giao dịch tài chính được thực hiện trong ứng dụng, và hơn 4,5 triệu token người dùng trên các nền tảng mạng xã hội. Các dữ liệu đáng chú ý khác bị rò rỉ còn có hơn 4 triệu bản ghi PHI (Protect Health Information - thông tin bảo vệ sức khỏe) chứa các đoạn chat riêng tư và các bản ghi đơn thuốc.
Tổng cộng, hơn 100 triệu bản ghi cá nhân với dung lượng tổng cộng trên 113 GB dễ dàng bị tin tặc tiếp cận. Các ứng dụng Android trong diện nguy hiểm được tải về trên 620 triệu lượt từ Google Play.
Theo báo cáo, hệ thống backend Firebase không được bảo vệ bởi cả tường lửa lẫn các hệ thống xác thực. Để chiếm quyền truy cập vào các cơ sở dữ liệu không được bảo mật, một "hacker" đơn giản chỉ cần chèn một tập tin "/.json" với một tên cơ sở dữ liệu rỗng vào cuối tên host (ví dụ: https://ten-ung-dung.firebaseio.com/.json").
Các nhà nghiên cứu cho biết họ đã liên hệ với Google trước khi tung ra bản báo cáo, đồng thời cung cấp cho Google một danh sách đầy đủ các ứng dụng không an toàn, và liên hệ với các nhà phát triển ứng dụng. Dù danh sách các ứng dụng này chưa được công bố công khai, Appthority cho biết các ứng dụng trong danh sách thuộc đủ mọi thể loại, từ tin nhắn, đến tài chính, sức khỏe, và du lịch. Các công ty hoặc nhà phát triển của các ứng dụng bị ảnh hưởng này có trụ sở trên khắp thế giới.
Sự cố này, cùng với vô số các vụ việc khác, tiếp tục cho thấy vẫn còn rất nhiều việc mà các công ty đang lưu trữ mọi dữ liệu riêng tư của chúng ta cần phải làm để đảm bảo an toàn cho người dùng.
.png "Khuyến cáo việc sử dụng Chứng thư số của tổ chức không được cấp phép")
TẠP CHÍ ĐIỆN TỬ THÔNG TIN VÀ TRUYỀN THÔNG