Trois chercheurs en cybersécurité ont découvert près de 19 millions de mots de passe en clair exposés sur l’Internet public par des instances mal configurées de Firebase, une plate-forme Google pour l’hébergement de bases de données, le cloud computing et le développement d’applications.

Le trio a analysé plus de cinq millions de domaines et a trouvé 916 sites Web d’organisations qui n’avaient aucune règle de sécurité activée ou qui les avaient configurés de manière incorrecte.

Plus de 125 millions d’enregistrements d’utilisateurs sensibles ont été trouvés, y compris des courriels, des noms, des mots de passe, des numéros de téléphone et des informations de facturation avec des coordonnées bancaires.

Des millions de mots de passe en clair exposés
Les chercheurs (Logykk, xyzeva / Eva et MrBruh) ont commencé à rechercher sur le Web public des informations personnellement identifiables (PII) exposées via des instances Firebase vulnérables.

Eva a déclaré à Breachtrace qu’ils avaient trouvé des instances Firebase qui n’avaient aucune règle de sécurité ou qui étaient mal configurées et autorisaient un accès en lecture aux bases de données.

” La plupart des sites avaient également activé l’écriture, ce qui est mauvais », nous a dit Eva, ajoutant que parmi ceux-ci, ils avaient également trouvé une banque.

Pour chaque base de données exposée, le script d’Eva, Catalyst, a vérifié le type de données disponibles et extrait un échantillon de 100 enregistrements.

Base de données avec des échantillons d’enregistrements d’utilisateurs exposés

Tous les détails ont été organisés dans une base de données privée qui offre un aperçu en nombre des informations utilisateur sensibles que les entreprises exposent en raison de paramètres de sécurité incorrects:

  • Noms: 84 221 169
  • Courriels: 106 266 766
  • Numéros de téléphone: 33 559 863
  • Mots de passe: 20 185 831
  • Informations de facturation (coordonnées bancaires, factures, etc.): 27 487 924

Pour les mots de passe, le problème s’aggrave car 98% d’entre eux, soit 19 867 627 pour être exact, sont en texte brut.

Eva nous a dit que les entreprises devaient avoir “fait tout leur possible pour stocker [le mot de passe]  » en texte brut, car Firebase dispose d’une solution d’identité de bout en bout appelée Firebase Authentication spécifiquement pour les processus de connexion sécurisés qui n’exposent pas les mots de passe des utilisateurs dans les enregistrements.

Une façon d’exposer les mots de passe des utilisateurs dans une base de données Firestore consiste pour l’administrateur à créer un champ « mot de passe » qui stocke les données en texte brut.

Alerter les propriétaires de sites
Après avoir analysé les données des échantillons, les chercheurs ont tenté d’avertir toutes les entreprises touchées des instances Firebase mal sécurisées et ont envoyé 842 courriels sur 13 jours.

Bien que seulement 1% des propriétaires de sites aient répondu, un quart des administrateurs de sites notifiés ont corrigé la mauvaise configuration de leur plate-forme Firebase.

Les chercheurs ont également reçu des primes de bogues de la part de deux propriétaires de sites. Cependant, ils ont refusé de commenter la valeur des récompenses, disant seulement qu’ils les acceptaient et qu’elles n’étaient pas importantes.

Certaines organisations ont été contactées via leur canal de support client, mais la réponse était loin d’être professionnelle.

Dans le cas d’un réseau de jeu indonésien, qui gère neuf sites Web, les chercheurs ont été ridiculisés lorsqu’ils ont signalé le problème et indiqué des conseils pour le résoudre.

Les chercheurs font face à des moqueries lorsqu’ils signalent des problèmes Firebase

Par coïncidence, la même entreprise représentait le plus grand nombre d’enregistrements de comptes bancaires exposés (8 millions) et de mots de passe en texte brut (10 millions).

Selon l’un des chercheurs, l’entreprise est basée en Indonésie et réalise un bénéfice annuel de 4 millions de dollars.

223 millions d’enregistrements exposés au total
La numérisation sur Internet, l’analyse des données brutes et l’organisation ont pris environ un mois et le processus ne s’est pas déroulé sans heurts du début à la fin.

Initialement, ils ont exécuté l’analyse à l’aide d’un script Python construit par MrBruh pour vérifier les sites Web ou leurs bundles JavaScript pour les variables dans les configurations Firebase.

Une grande consommation de mémoire a rendu le script inadapté aux tâches et a été remplacé par une variante en Golang écrite par Logykk, qui a mis plus de deux semaines pour terminer l’analyse d’Internet.

Le nouveau script a analysé plus de cinq millions de domaines connectés à la plate-forme Firebase de Google pour les services de cloud computing backend et le développement d’applications.

Pour automatiser la vérification des autorisations de lecture dans Firebase, l’équipe a utilisé un autre script d’Eva qui explorerait le site ou son JavaScript pour accéder aux collections Firebase (bases de données Cloud Firestore NoSQL).

Le nombre total d’enregistrements découverts par les chercheurs dans des bases de données mal configurées est de 223 172 248. Parmi ceux-ci, 124 605 664 enregistrements concernent des utilisateurs; les autres représentent des données associées aux organisations et à leurs tests.

Malgré le nombre élevé d’enregistrements exposés, les chercheurs préviennent que le chiffre est prudent et que la quantité est probablement plus importante.

Comment tout a commencé
L’analyse d’Internet à la recherche d’informations PERSONNELLES exposées à partir d’instances Firebase mal configurées fait suite à un autre projet mené par les chercheurs il y a deux mois, lorsque, en raison de problèmes de mauvaise configuration, ils ont obtenu des autorisations d’administrateur puis de “super administrateur” [1, 2] sur une instance de Firebase utilisée par Chattr, une solution logicielle de recrutement alimentée par l’IA.

Chattr est utilisé par de nombreuses grandes chaînes de restauration rapide aux États-Unis, telles que KFC, Wendy’s, Taco Bell, Chick-fil-A, Subway, Arby’s, Applebee’s et Jimmy John’s, pour embaucher leur main-d’œuvre.

Alors que le rôle d’administrateur dans le tableau de bord Firebase de Chattr permettait d’afficher des informations sensibles relatives aux personnes essayant d’obtenir un emploi dans une chaîne de restauration rapide, le poste de “superadmin” donnait accès au compte d’une entreprise et agissait en son nom pour certaines tâches, y compris les décisions d’embauche.

Les chercheurs ont également divulgué de manière responsable la vulnérabilité à Chattr, qui a corrigé la faille, mais n’a plus répondu à d’autres courriels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *