Unternehmen lassen ihre ungesicherten Cloud-Datenbanken weiterhin online, obwohl die Gefahr besteht, dass Unternehmensdaten und sogar Benutzerdaten preisgegeben werden.
Nach einer dreimonatigen Untersuchung fand Check Point Research (CPR) 3 mobile Apps, deren Datenbanken nicht in der Cloud geschützt und für jeden mit einem Browser zugänglich waren.
Mobile Apps mit offengelegten Datenbanken reichten von solchen mit über zehn Null-Downloads bis hin zu sehr beliebten Apps mit über zehn Millionen Downloads. CPR hat eine Vielzahl proprietärer Daten aus den betreffenden Apps gefunden, darunter Chat-Nachrichten, persönliche Fotos, Telefonnummern, E-Mails, Benutzernamen, Passwörter und mehr.
Lotem Finkelsteen, Head of Threat Intelligence and Research bei Check Point Software, erklärte, wie die Sicherheitsforscher des Unternehmens diese exponierten Datenbanken mit dem kostenlosen Online-Tool VirusTotal leicht finden konnten, sagte er:
„In dieser Studie zeigen wir, wie einfach es ist, kritische Datensätze und Ressourcen zu finden, die in der Cloud für jeden zugänglich sind, der einfach darauf zugreifen kann. Wir teilen ein einfaches Verfahren, wie Hacker dies tun können. Die Methode besteht darin, nach öffentlichen Datei-Repositories wie VirusTotal für mobile Anwendungen zu suchen, die Cloud-Dienste nutzen. Ein Hacker kann VirusTotal nach dem vollständigen Pfad zum Cloud-Backend einer mobilen App fragen. Wir teilen einige Beispiele dessen, was wir dort finden konnten. Alles, was wir finden, ist für jeden erreichbar. Letztendlich testen wir mit dieser Untersuchung, wie leicht es zu einer Datenschutzverletzung oder -ausnutzung kommen kann. Die Menge an Daten, die jedem in der Cloud klar und frei zur Verfügung steht, ist wahnsinnig. Vergewaltigung ist wesentlich einfacher als wir denken.
Mobile Anwendungen mit exponierten Datenbanken
In einem neuen Weblog-Beitrag nannte CPR mehrere Beispiele seiner Studie, ohne die Namen mobiler Apps zu erwähnen, die seine Cloud-Datenbanken online ungeschützt gelassen hatten.
Die erste Anwendung ist für eine wichtige Kette großer Lebensmittelgeschäfte in Südamerika bestimmt und wurde mehr als zehn Millionen Mal heruntergeladen. Durch die Suche nach VirusTotal konnte CPR API-Gateway-Anmeldeinformationen und einen API-Schlüssel finden. Erschwerend kam hinzu, dass diese Anmeldeinformationen im Klartext vorlagen und von jedem gelesen und für den Zugriff auf die Konten von Kunden des großen Aufseherdienstes verwendet werden konnten.
Bei der folgenden App handelt es sich um eine Lauf-Tracker-App, die entwickelt wurde, um die Leistung eines Läufers zu verfolgen und zu untersuchen. Sie wurde über hundertmal heruntergeladen. Die Datenbank enthielt die GPS-Koordinaten der Benutzer und andere Gesundheitsdaten wie die Herzfrequenz. Mit diesen Informationen könnte ein Angreifer Karten erstellen, um den Aufenthaltsort von App-Benutzern zu verfolgen.
CPR fand dann die offengelegte Datenbank einer Dating-App für Menschen mit Behinderungen. Diese Datenbank enthielt fünfzig private Chatnachrichten sowie Fotos der Versender. CPR fand außerdem die offengelegte Datenbank einer weit verbreiteten Logo-Erstellungs-App, die mehr als zehn Millionen Mal heruntergeladen wurde. In der Datenbank befanden sich einhundertdreißig Benutzernamen, E-Mails und Passwörter.
Zusätzlich zu diesen Anwendungen entdeckte CPR auch die unsicheren Datenbanken eines beliebten PDF-Readers und einer Buchhaltungsanwendung.
So wie Sicherheitsspezialisten Benutzern raten, ihre Smartphones, Tablets und Laptops mit starken und komplexen Passwörtern zu schützen, tun dies auch Unternehmen, die Cloud-Datenbanken zum Speichern ihrer mobilen Apps nutzen.