- Cybernews menemukan tiga aplikasi ID foto yang salah dikonfigurasi sehingga membocorkan data sensitif pengguna melalui instance Firebase yang terekspos
- Melanggar email, nama pengguna, foto profil, koordinat GPS, dan token notifikasi yang terekspos, memengaruhi ~152 ribu pengguna
- Peretas sudah mengakses database terbuka; pengembang tetap tidak responsif meskipun ada upaya kontak berulang kali
Banyak aplikasi seluler bahwa objek yang diidentifikasi dalam foto membocorkan informasi yang sangat sensitif di internet, dan peretas berhasil mengambilnya.
Ketiga aplikasi tersebut mengalami kesalahan konfigurasi instance Firebase yang mengakibatkan autentikasi dan kontrol akses tidak memadai. Datanya berada di tempat terbuka basis datadan menyertakan alamat email orang, nama pengguna (sering kali menyertakan nama lengkap), token notifikasi Firebase Cloud Messaging (FCM), foto profil, dan koordinat GPS.
Anda akan melihat bahwa tidak semua pengguna aplikasi telah disusupi. Hal ini mungkin terjadi karena fitur opsional yang bergantung pada instance Firebase yang salah dikonfigurasi, sehingga mungkin hanya orang yang mengaktifkan tambahan tertentu yang disusupi.
Peretas mengendusnya
Menurut berita sibertiga aplikasi yang ditemukan membocorkan data adalah:
- Kamera Foto Pengenal Ras Anjing (500 ribu unduhan, 66.182 pengguna terpengaruh)
- Aplikasi Pengenal Laba-laba melalui Foto (500 ribu unduhan, 40.779 pengguna terpengaruh)
- Pengidentifikasi serangga oleh Photo Cam (1 juta unduhan, 45.005 pengguna terpengaruh)
Sebagian besar data dapat digunakan secara jahat untuk phishing dan pencurian identitasnamun koordinat GPS membuat pelanggaran ini semakin parah, karena koordinat tersebut dapat mengetahui di mana orang tinggal, di mana mereka pergi bekerja, dan apa kebiasaan sehari-hari mereka.
Peneliti Cybernews mengatakan bahwa mereka menemukan entri Proof-of-Concept di database, yang merupakan “penanda umum yang ditinggalkan oleh bot otomatis yang memindai internet untuk mencari database yang tidak aman”. Dengan kata lain – peretas telah menemukan file tersebut.
“Jumlah pemasangan aplikasi sangatlah signifikan. Ini adalah metrik umum yang diandalkan pengguna untuk mengukur popularitas aplikasi, yang juga merupakan faktor kepercayaan,” kata tim peneliti Cybernews. “Kebocoran data ini menunjukkan bahwa hanya mengandalkan popularitas aplikasi untuk mengukur keamanannya saja tidak cukup.”
Sayangnya, para peneliti tidak dapat menghubungi pengembang aplikasi tersebut, meskipun telah menghubungi mereka beberapa kali.
Melalui berita siber
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
