Tre esperti di cybersecurity hanno scoperto ben 19 milioni di password esposte in chiaro a causa di configurazioni errate di Firebase, una piattaforma di Google utilizzata per l'hosting di database, il cloud computing e lo sviluppo di applicazioni.
L'esposizione non si limita alle sole password: oltre 125 milioni di dati sensibili degli utenti, tra cui email, nomi, numeri di telefono e informazioni di fatturazione con dettagli bancari, sono stati rinvenuti durante l'indagine. I ricercatori, noti online come Logykk, xyzeva/Eva e MrBruh, hanno iniziato la loro ricerca di informazioni personali identificabili (PII) vulnerabili tramite istanze Firebase mal configurate, scoprendo che molti siti permettevano l'accesso in scrittura ai database, una pratica fortemente sconsigliata per motivi di sicurezza.
Analizzando oltre cinque milioni di domini, sono state individuate 916 piattaforme web di organizzazioni e aziende con regole di sicurezza assenti o impostate in modo errato.
La ricerca, durata circa un mese, ha portato alla scoperta di 223 milioni di record esposti, di cui 124,605,664 relativi a dati degli utenti. Questo numero, considerato conservativo dai ricercatori, suggerisce che l'effettiva entità del problema potrebbe essere ancora maggiore. Il lavoro di analisi e segnalazione alle aziende coinvolte ha richiesto l'invio di 842 email in 13 giorni, ottenendo un riscontro solo dall'1% dei destinatari.
Tra le vulnerabilità rilevate, spicca il caso di una rete di gioco d'azzardo indonesiana, responsabile del numero più elevato di record bancari esposti (8 milioni) e di password in chiaro (10 milioni). Questa scoperta arriva dopo un precedente progetto dei ricercatori, che aveva già evidenziato problemi di configurazione su un'istanza Firebase utilizzata da Chattr, un software di assunzione basato sull'intelligenza artificiale, impiegato da grandi catene di fast food negli Stati Uniti.
L'indagine evidenzia l'importanza di una configurazione corretta delle piattaforme cloud e invita le organizzazioni ad adottare pratiche di sicurezza più rigorose, per proteggere le informazioni e salvaguardare la privacy degli utenti.