网络第5域

配置错误的Firebase实例暴露了1.25亿条用户记录

字号+作者: 来源:cnBeta.COM 2024-03-20 10:26 评论(创建话题) 收藏成功收藏本文

安全研究人员警告说,数百家网站错误配置了GoogleFirebase,泄露了超过1.25亿条用户记录,其中包括明文密码。三位使用mrbruh、xyzeva和logykk等网络昵称的安'...

安全研究人员警告说,数百家网站错误配置了GoogleFirebase,泄露了超过1.25亿条用户记录,其中包括明文密码。三位使用mrbruh、xyzeva和logykk等网络昵称的安全研究人员解释说,这一切都源于对Chattr的黑客攻击,Chattr是一个人工智能招聘系统,为美国多家机构提供服务,其中包括Applebee's、Chick-fil-A、KFC、Subway、TacoBell和Wendy's等快餐连锁店。Spr品论天涯网

Spr品论天涯网

Chattr的Firebase实现中存在一个弱点,使得研究人员可以通过注册新用户获得数据库的全部权限。他们可以访问姓名、电话号码、电子邮件地址、某些账户的明文密码、机密信息等。受影响的个人包括员工、特许经营经理和求职者。Spr品论天涯网

通过创建一个新的管理账户,研究人员可以访问管理仪表板,该仪表板提供了更多的系统访问权限,包括退款选项。此外还发现了一种额外的"幽灵"模式,可以访问账单信息,完全控制用户账户,还可以选择雇人。Spr品论天涯网

Chattr于1月10日,即研究人员报告一天后解决了这一问题。Spr品论天涯网

接下来,研究人员开始识别通过配置错误的Firebase实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含8000多万个姓名、1亿多个电子邮件地址、3300多万个电话号码和2000多万个密码,以及2700多万个账单信息条目。Spr品论天涯网

不过,据研究人员称,被曝光的记录总数可能要高得多。受影响的网站包括:暴露了2700万用户数据的学习管理系统SilidLMS、暴露了2200万用户详细信息的冷电话生成器LeadCarrot、暴露了1400万个姓名和1300万个电子邮件的餐厅业务管理和PoS应用程序MyChefTool,以及暴露了约800万个银行账户详细信息的由九个网站组成的在线赌博网络。Spr品论天涯网

研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够通过。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏。Spr品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]