19 millions de mots de passe en clair exposés dans des instances Firebase mal configurées !
Des chercheurs en sécurité sont parvenus à mettre la main sur 19 millions de mots de passe en clair exposés au sein d'instances Firebase mal configurées ! Accessibles publiques, n'importe qui pouvait accéder à ces informations sensibles. Faisons le point sur cette découverte !
Firebase est une plateforme proposée par Google permettant le développement d'applications web et mobile, ainsi que la création de bases de données. Comme tous les services, une mauvaise configuration peut être lourde de conséquence... Ceci est l'occasion de rappeler que les incidents de sécurité ne sont pas systématiquement associés à une vulnérabilité.
D'ailleurs, trois chercheurs en sécurité ont pris l'initiative d'analyser plus de cinq millions de domaines à la recherche d'instances mal configurées ou sans règles de sécurité. S'ils ont mené ces travaux, ce n'est pas par hasard. En effet, récemment, ils sont parvenus à obtenir des droits d'administrateur, puis de super-administrateur sur une instance de Firebase utilisée par la solution Chattr. Cette découverte a poussé les chercheurs à analyser les serveurs exposés sur Internet.
Des noms, des e-mails, des mots de passe, des factures, etc.
Ce scan, qui aura nécessité environ 1 mois, a permis d'identifier 916 sites web vulnérables, avec certaines bases de données Firestore accessibles en écriture. Sur ces instances vulnérables, les chercheurs sont parvenus à collecter plus de 125 millions d'enregistrements avec des données associés à des utilisateurs, avec notamment des adresses e-mail, des noms, des mots de passe, des numéros de téléphone et des informations de facturation avec des coordonnées bancaires.
- Noms : 84 221 169
- Emails : 106 266 766
- Numéros de téléphone : 33 559 863
- Mots de passe : 20 185 831
- Informations de facturation (coordonnées bancaires, factures, etc.) : 27 487 924
Le pire, c'est que 98% des mots de passe découverts sont en texte clair (soit 19 867 627 mots de passe). Ceci est regrettable, car Firebase propose toutes les options nécessaires pour éviter d'exposer les mots de passe. Il s'agit clairement d'une mauvaise configuration.
Ensuite, les chercheurs ont pris le temps d'identifier et de contacter toutes les entreprises concernées afin de les notifier. Au total, en 13 jours, ils ont envoyé 842 e-mails. Même s'ils n'ont pas obtenu de réponse, il est à noter que 25% des entreprises notifiées ont fait le nécessaire pour sécuriser leur instance Firebase.