Недонастроенный Firebase обернулся утечкой данных пользователей iOS-приложения

Исследователи в области информационной безопасности сообщили о масштабной утечке данных из iOS-приложения Second Phone Number, предназначенного для создания виртуальных телефонных номеров. Причиной проблемы стала некорректная настройка облачной базы данных Firebase.

По данным команды Cybernews, уязвимость позволила получить доступ к личным сообщениям, спискам контактов, фотографиям и другим данным пользователей. При этом разработчики приложения неоднократно уведомлялись об обнаруженной бреше, однако проблема остаётся неустранённой.

Точное количество пострадавших установить невозможно, однако по оценкам специалистов, приложение было загружено около четырёх миллионов раз, из которых более трёх миллионов загрузок пришлись на США. В момент обнаружения исследователи получили доступ к сотням сообщений, содержащих персональные данные отправителей и получателей.

Особую угрозу представляет то, что данные могли использоваться для шантажа, кражи информации о клиентах компаний и других злоумышленных действий. Через незашифрованный доступ к Firebase хакеры могут не только собирать сообщения, но и мониторить активность пользователей в реальном времени.

Эксперты отмечают, что проблема касается не только Second Phone Number. Анализ показал: 71% приложений из выборки в 156 тысяч сервисов App Store допускают утечку как минимум одного секретного элемента. Среднестатистическое приложение раскрывает более пяти конфиденциальных параметров, включая API-ключи и идентификаторы проектов.

Для предотвращения подобных утечек специалисты рекомендуют ограничивать доступ к базам данных только авторизованным пользователям, переносить конфиденциальные настройки с клиентской части на серверную и выстраивать инфраструктуру через собственные защищённые каналы.

Пока уязвимость остаётся открытой, пользователи, применяющие Second Phone Number для общения или деловых целей, фактически подвергаются риску утечки своей личной информации.