Компании продолжают оставлять свои незащищенные облачные базы данных в сети, несмотря на опасность раскрытия данных компании и даже данных пользователей.
После трехмесячного расследования компания Check Point Research (CPR) обнаружила две тысячи сто тринадцать мобильных приложений, базы данных которых не были защищены в облаке и доступны любому пользователю с помощью браузера.
Мобильные приложения с открытыми базами данных варьировались от приложений с более чем десятью нулевыми загрузками до очень популярных приложений с более чем десятью миллионами загрузок. CPR обнаружил обширное множество зарезервированных данных из рассматриваемых приложений, включая сообщения чата, личные фотографии, номера телефонов, электронные письма, имена пользователей, пароли и многое другое.
Руководитель отдела анализа угроз и исследований в Check Point Software Лотем Финкельстин объяснил, как исследователи безопасности компании смогли легко найти эти открытые базы данных с помощью бесплатного онлайн-инструмента VirusTotal, diciendo:
«В этом исследовании мы показываем, насколько просто найти важные наборы данных и ресурсы, которые открыты в облаке для всех, кто может просто перейти к ним. Мы делимся простой процедурой того, как хакеры могут это сделать. Методология заключается в поиске в общедоступных хранилищах файлов, таких как VirusTotal, мобильных приложений, использующих облачные сервисы. Хакер может запросить у VirusTotal полный путь к облачному серверу мобильного приложения. Мы поделились некоторыми примерами того, что смогли там найти. Все, что мы находим, доступно каждому. В конечном счете, с помощью этого исследования мы проверили, насколько просто может произойти утечка или эксплуатация данных. Количество данных, которые явно и бесплатно доступны любому в облаке, безумно. Изнасилование значительно проще, чем мы думаем.
Мобильные приложения с открытыми базами данных
В новом сообщении в блоге CPR привела несколько примеров из своего исследования, не упомянув названия мобильных приложений, которые оставили его облачные базы данных незащищенными в Интернете.
Первое приложение предназначено для ведущей сети крупных охранников в Южной Америке и было загружено более десяти миллионов раз. Выполнив поиск в VirusTotal, CPR смог найти учетные данные шлюза API и ключ API. Что еще хуже, эти учетные данные были в виде простого текста, и любой мог их прочитать и использовать для доступа к учетным записям клиентов службы большой охраны.
Следующее приложение представляет собой приложение для отслеживания бега, разработанное для отслеживания и изучения производительности бегунов, и оно было загружено более ста нулевых раз. Его база данных содержала GPS-координаты пользователей и другие показатели здоровья, такие как частота сердечных сокращений. Имея эту информацию, злоумышленник может создавать карты для отслеживания местонахождения пользователей приложения.
Затем CPR обнаружил открытую базу данных приложения для знакомств для людей с ограниченными возможностями. Эта база данных содержала пятьдесят личных сообщений в чате, а также фотографии грузоотправителей. CPR также обнаружил открытую базу данных широко используемого приложения для создания логотипов, которое было загружено более десяти миллионов раз. В базе было сто тридцать имен пользователей, адресов электронной почты и паролей.
В дополнение к этим приложениям CPR также обнаружил небезопасные базы данных популярной программы для чтения PDF-файлов и бухгалтерского приложения.
Как специалисты по безопасности советуют пользователям защищать свои смартфоны, планшеты и ноутбуки сложными и надежными паролями, так и компании, использующие облачные базы данных для хранения своих мобильных приложений.