據外媒報導,GST Invoice Billing Inventory(曾名Book Keeper)是一款面向中小型企業的流行會計應用程式,由於一個開放的資料庫暴露了敏感的個人和企業資料。
據瞭解,該應用被企業用來傳送發票、賬單和預算,跟蹤費用和收據,管理庫存,傳送財務報表等等,是谷歌應用商店上一款比較受歡迎的商業財務應用程式,有超過1.2萬評論、100萬次的下載,應用評分4星。
Cybernews在研究中發現,該應用程式的敏感資料被硬編碼到了客戶端,這意味著攻擊者能夠獲取到API(應用程式程式設計介面)金鑰、谷歌儲存桶和未受保護的資料庫,並透過分析關於應用程式的公開可用資訊來利用這些資訊。
Cybernews的報告中說,其對超過33000款Android應用程式進行了全面的研究,發現在Android應用程式的客戶端中有超過14000個Firebase URL。其中有600多個是指向開放的Firebase例項的連結。GST Invoice Billing Inventory就是這600多款應用程式之一,它留下了一個開放的資料庫,暴露了敏感的個人和公司資料。
Firebase是一個JSON資料庫,用於儲存有關應用程式及其使用者的公共或私人資訊。它是Android應用程式最流行的儲存解決方案。資料集之中,使用者資料有:電話號碼、裝置型別、電子郵件、帳戶建立時間戳、地址以及高階應用程式版本購買資料等;公司資料有:名稱、電子郵件、位置、發票計數、營業額、辦公地址、銀行/現金餘額和令牌等。
“將敏感資料硬編碼到Android應用程式的客戶端是一個壞主意。在大多數情況下,它可以透過逆向工程輕鬆訪問。” Cybernews研究員Vincentas Baubonis說。
安全公司Innovative Technologies的CEO Paul Tracey表示,經常能看到公司誤以為該由內部IT員工或MSP(託管服務提供商)負責網路安全操作,但實際上,滲透測試應該是定期進行的,並且是由能夠客觀評估環境中風險的第三方進行。另一個錯誤是隻要資料庫工作正常,就不再進行維護或更新——直到它停止正常執行,乃至遭受勒索軟體攻擊。
對於公司和消費者來說,這類安全事件後果可能非常嚴重,比如面臨停機、資料丟失、聲譽損失、消費者信心下降、民事訴訟和勒索軟體等。
編輯:左右裡
資訊來源:cybernews
轉載請註明出處和本文連結