Molte aziende continuano a lasciare i propri database cloud non protetti online nonostante il rischio di esposizione dei dati aziendali e degli utenti.
Attraverso uno studio di tre mesi, Check Point Research (CPR) ha scoperto che 2.113 app dispongono di database cloud sprovvisti di protezione e dunque accessibili da chiunque tramite browser.
Le app mobili con database esposti includevano applicazioni poco popolari, con oltre 10 mila download, fino ad app molto più note, con oltre 10 milioni di download. CPR ha individuato una vasta gamma di dati sensibili provenienti dalle app in questione, fra cui messaggi di chat, foto personali, numeri di telefono, indirizzi e-mail, nomi utente, password e molto altro.
Il responsabile di ricerca e intelligence sulle minacce di Check Point Software Lotem Finkelsteen spiega con quanta facilità i ricercatori dell'agenzia di sicurezza siano riusciti a trovare i database esposti tramite VirusTotal, un tool disponibile online gratuitamente:
"Nella ricerca, dimostriamo quanto sia facile individuare set di dati e risorse cruciali aperte sul cloud a chiunque sia in grado di accedervi tramite navigazione. Condividiamo un metodo molto semplice con cui gli hacker possono operare in tal senso. La metodologia implica la ricerca di repository di file pubblici come VirusTotal per le app mobili che sfruttano servizi cloud. Un hacker può inviare una query a VirusTotal per ottenere il percorso completo verso il backend cloud di un'app mobile. Condividiamo alcuni esempi di ciò che abbiamo potuto trovare personalmente. E ogni elemento individuato è accessibile da chiunque. Infine, con questa ricerca dimostriamo quanto sia probabile l'eventualità di una violazione di dati o un exploit. La quantità di dati aperta e disponibile liberamente sul cloud è inconcepibile. E le violazioni sono molto più facili da perpetrare di quanto immaginiamo".
- I migliori antivirus del 2022
- Che cos'è un password manager
- Le migliori VPN del 2022
App mobili con database esposti
In un nuovo post sul blog, CPR ha fornito diversi esempi tratti dallo studio, senza però citare i nomi delle app mobili i cui database cloud risultino non protetti online.
La prima app riguarda una grande catena di grandi magazzini in Sudamerica, scaricata oltre 10 milioni di volte. Tramite la ricerca con VirusTotal, CPR ha individuato le credenziali del gateway API e una chiave API. Ma ancora peggio, queste credenziali erano salvate su un normale file di testo, accessibile da chiunque e utilizzabile per accedere agli account dei clienti dei grandi magazzini.
Poi, viene analizzata un'app di fitness progettata per analizzare e monitorare le prestazioni dei corridori, scaricata oltre 100 mila volte. Il database conteneva le coordinate GPS e altri parametri sanitari come le frequenze cardiache. Con questa informazioni, un malintenzionato potrebbe creare mappe per monitorare le zone in cui operano gli utenti dell'app.
CPR ha trovato anche un database esposto di un'app per appuntamenti destinata a persone con disabilità. Il database conteneva 50 mila messaggi di chat privata, insieme a foto dei mittenti. CPR ha riscontrato un altro database esposto, appartenente a una popolare app per la realizzazione di logo, scaricata oltre 10 milioni di volte. All'interno del database erano contenuti 130 mila fra nomi utente, indirizzi e-mail e password.
Oltre a queste app, CPR ha scoperto database non protetti di un famoso lettore di file PDF e di un'app di contabilità
Così come gli esperti di sicurezza consigliano ai consumatori di proteggere smartphone, tablet e laptop con password efficaci e complesse, tale suggerimento si applica anche alle aziende che usano database in cloud per l'archiviazione dei dati delle proprie app mobili.
- Autenticazione a due fattori: cos'è e come funziona
