Pesquisadores de segurança do Appthority descobriram que existe uma enorme quantidade de aplicativos que estão com os bancos de dados Firebase desprotegidos. No total, são milhares de aplicativos móveis, tanto no iOS quanto no Android, que expondo mais de 100 milhões de registros de dados, como senhas em texto simples, identificações de usuários, localização, e ainda registros financeiros como transações bancárias e de criptomoedas.

O Firebase é um serviço do Google que se tornou uma das plataformas de desenvolvimento mais populares para aplicativos móveis por ofertar aos desenvolvedores um banco de dados baseado em nuvem, que armazena informações no formato JSON  ainda sincroniza em tempo real com todos os clientes conectados.

No entanto, o Firebase não protege os dados por padrão, sendo que os desenvolvedores precisam fazer isso de modo manual, e caso não seja feito, o conteúdo acaba ficando acessível para qualquer pessoa que tenha conhecimento no assunto.

No entanto, o Firebase não protege os dados por padrão, sendo que os desenvolvedores precisam fazer isso de modo manual.
No entanto, o Firebase não protege os dados por padrão, sendo que os desenvolvedores precisam fazer isso de modo manual.

Os pesquisadores da Appthority descobriram que muitos desenvolvedores de aplicativos não conseguem proteger de forma adequada os seus endpoints do Firebase com firewalls e autenticação, o que deixa centenas de gigabytes de dados confidenciais de seus clientes acessíveis.

Apenas para Android, os aplicativos vulneráveis já foram baixados mais de 620 milhões de vezes. Eles integram várias categorias, podendo ser de comunicação, criptomoedas, finanças, instituições de ensino, hotéis, saúde, entre outros.

A empresa diz que, entre os dados expostos estão comprometidos 2,6 milhões de senhas e IDs de usuários, mais de 4 milhões de registros de PGI (Informações Protegidas de Saúde), 25 milhões de registro de localização, 50 mil registros financeiros, incluindo transações bancárias, de pagamento e Bitcoine, e mais de 4,5 milhões de tokens de usuários do Facebook, LinkedIn, e dados corporativos.

De acordo com os pesquisadores, o Google já foi comunicado sobre o problema.