Mais de 2 mil bancos de dados armazenados na nuvem estão expostos
Dados confidenciais de vários aplicativos móveis estão expostos e disponíveis para qualquer pessoa com um navegador, denunciou a Check Point Research. Ao pesquisar o “VirusTotal”, a equipe da CPR identificou 2.113 aplicativos móveis cujos bancos de dados estavam desprotegidos e expostos ao longo de uma pesquisa realizada durante três meses. O VirusTotal, uma subsidiária do Google, é um serviço de uma ferramenta online gratuita que verifica arquivos e URLs para detectar vírus, cavalos de Troia e outras formas de malware.
Os aplicativos móveis variam entre 10 mil e 10 milhões de downloads. Entre as informações confidenciais encontradas estavam mensagens de chat em aplicativos populares de namoro, fotos pessoais e familiares, IDs de token em um aplicativo de saúde, dados de plataformas de troca de criptomoedas, entre outras. A Check Point Research alerta sobre a facilidade em localizar conjuntos de dados e recursos críticos de aplicativos consultando repositórios públicos e incentiva o mercado a aplicar as melhores práticas para segurança na nuvem.
As plataformas de nuvem mudaram a maneira como os desenvolvedores trabalham e se tornaram um padrão no desenvolvimento de aplicativos. Ao escrever o código, os desenvolvedores investem muitos recursos para proteger um aplicativo contra várias formas de ataques. No entanto, os desenvolvedores podem negligenciar a configuração adequada do banco de dados na nuvem, deixando-os expostos em tempo real, o que pode resultar em uma violação catastrófica se explorado.
Em geral, os desenvolvedores alteram manualmente as configurações padrão bloqueadas e protegidas das regras de segurança para executar testes. Se for deixado desbloqueado e desprotegido antes de liberar o aplicativo para produção, o banco de dados ficará aberto para qualquer pessoa que o acesse e, portanto, suscetível a leitura e gravação no banco de dados.
Para acessar os bancos de dados expostos, a metodologia é simples:
1. Procurar aplicativos móveis que se comunicam com serviços em nuvem no VirusTotal.
2. Arquivar aqueles que têm acesso direto aos dados.
3. Navegar no link recebido.
A Check Point Research traz exemplos de aplicativos cujos dados foram encontrados e expostos. A CPR encontrou mais de 50 mil mensagens privadas expostas de um aplicativo popular de namoro. Também há mais de 10 milhões expostos em um aplicativo de loja de departamentos, uma das maiores redes da América do Sul. Segundo a CPR, estão expostos credenciais de gateway de API e chave de API.
