ИБ-эксперты рассказали о новом варианте уязвимости HospitalGown.
Компания Appthority опубликовала результаты исследования нового варианта уязвимости HospitalGown, приводящей к утечке данных. Новый вариант связан с тем, что разработчики должным образом не защищают базы данных Google Firebase, к которым подключаются их приложения.
Специалисты Appthority обнаружили уязвимость HospitalGown еще в 2017 году. Проблема связана не с каким-либо кодом в приложении, а с отсутствием на серверах механизмов авторизации. Как ранее сообщал SecurityLab, из-за отсутствия защиты серверов Elasticsearch более 1 тыс. приложений могут привести к утечке 43 ТБ корпоративных данных.
Новый вариант уязвимости затрагивает серверы Firebase, где хранится такая персонально идентифицируемая информация, как данные о состоянии здоровья, незашифрованные пароли, токены авторизации в соцсетях и криптовалютных обменниках, данные по денежным транзакциям, номера транспортных средств и т.д.
Уязвимости подвержены 3 тыс. iOS- и Android-приложений (уязвимые Android-приложения были загружены свыше 620 млн раз), подключающихся к 2,3 тыс. незащищенным базам данных Firebase. 62% предприятий имеют хотя бы одно уязвимое приложение, сообщают эксперты.
Никаких овечек — только отборные научные факты