Дослідники знайшли у відкритому доступі понад 2000 відкритих баз даних мобільних додатків

Дослідники знайшли у відкритому доступі понад 2000 відкритих баз даних мобільних додатків

Команда Check Point Research (CPR) з компанії Check Point Software Technologies виявила у відкритому доступі незахищені конфіденційні дані мобільних додатків, які будь-хто може знайти через браузер. Експерти CPR знайшли у VirusTotal, безкоштовному інструменті для сканування документів та посилань на шкідливе ПЗ, 2113 мобільних додатків, бази даних яких не були захищені у хмарі та протягом трьох місяців спостережень за ними неодноразово наражалися на ризик. Кількість завантажень цих програм варіюється від десяти тисяч до десяти мільйонів.

Конфіденційні дані, виявлені фахівцями Check Point Research, включають фотографії користувачів і членів їх сімей, ідентифікаційні токени з додатків для турботи про здоров’я, інформацію з платформ для обміну криптовалюти та багато іншого. Дослідники CPR наводять кілька прикладів мобільних додатків із незахищеними даними, зокрема в одному популярному додатку для створення логотипів та графічного дизайну у відкритому доступі опинилися понад 130 тисяч облікових даних користувачів. Команда CPR розповідає, які кроки можуть зробити розробники хмарних платформ, які відповідають за безпеку, щоб посилити захист. Експерти не вказують назви мобільних програм, описаних у дослідженні, щоб не допустити витоків.

Перший приклад — популярний додаток для створення логотипів та графічного дизайну з більш ніж десятьма мільйонами завантажень. Дослідники Check Point Research виявили у відкритому доступі понад 130 тисяч облікових даних: імен користувачів, адрес електронної пошти та паролів.

У другому випадку експерти CPR виявили відкриту базу даних з великим обсягом конфіденційної інформації: банківські реквізити, геолокацію, номери телефонів, особисті повідомлення, історію покупок та багато іншого. Розкриті дані належать користувачам платформи для прослуховування подкастів та іншого аудіоконтента з більш як 5 мільйонами завантажень.

Ще один приклад — бухгалтерський додаток для малого та середнього бізнесу, який завантажили понад мільйон разів. У відкритому доступі опинилися понад 280 тисяч телефонних номерів, пов’язаних з щонайменше 80 тисячами назв компаній, а також адреси, інформація про залишок на банківському рахунку та запас готівки в касі, рахунки-фактури та адреси електронної пошти.

Дослідники Check Point Research знайшли у VirusTotal мобільні програми, які взаємодіють з хмарними сервісами, та вибрали серед них ті, у яких відкритий доступ до даних.

«У цьому дослідженні ми показуємо, як легко можна знайти набори даних та критично важливі ресурси, які відкриті у хмарі для будь-кого, хто може отримати до них доступ через браузер, – розповідає Лотем Фінкельстін, керівник відділу аналізу загроз Check Point Software Technologies. — Ми описуємо, як це можна зробити. Метод передбачає пошук у публічних файлових репозиторіях (таких як VirusTotal), мобільних додатків, які використовують хмарні послуги. Так, хакер може запросити в VirusTotal повний шлях до хмарного бекенд мобільного додатка. Ми наводимо кілька прикладів, які змогли знайти там самі — все, що ми знайшли, доступне будь-кому. Наше дослідження доводить, наскільки легко може статися витік чи експлуатація даних. Обсяг конфіденційної інформації, який знаходиться у відкритому доступі та доступний у хмарі будь-якій людині, просто неймовірний. І зламати хмару набагато простіше, ніж ми вважаємо».

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *