Politechnika w Darmstadt i Instytut Fraunhofera ds. bezpiecznej technologii informacyjnej SIT zbadały bazy danych w chmurze, takie jak Parse Facebooka i Amazon Web Services, i wykryły około 56 milionów niezabezpieczonych zbiorów danych. Badacze znaleźli adresy e-mail, hasła, dane dotyczące zdrowia i inne wrażliwe informacje użytkowników aplikacji, którzy w ten sposób są narażeni na niechroniony dostęp osób trzecich. Zagrożona jest kradzież tożsamości i inne cyberprzestępstwa.

Według TU Darmstadt poufne informacje trafiły do ​​baz danych w chmurze, ponieważ twórcy aplikacji lubią używać ich jako Backend-as-a-Service (BaaS) do zapisywania danych użytkowników. Z ich punktu widzenia jest to praktyczne, ponieważ jest to niedroga, łatwa do rozbudowy, elastyczna i stabilna opcja w porównaniu z platformami samoobsługowymi. Ułatwia również synchronizację, na przykład między aplikacjami na Androida i iOS.

Najwyraźniej jednak wielu programistów nie bierze pod uwagę zaleceń bezpieczeństwa dostawców chmury lub nie wdraża ich poprawnie i w całości. Testy przeprowadzone przez badaczy za pomocą frameworka analitycznego „Fraunhofer Appicaptor”, który wprowadzili w 2014 roku, wykazały, że zdecydowana większość z przebadanych 750 000 aplikacji, pochodzących zarówno ze sklepu Google Play Store, jak i Apple App Store, nie korzysta wszelkie kontrole dostępu.

Jak wyjaśniają naukowcy, operatorzy chmury oferują kilka metod uwierzytelniania. Najsłabsza forma wykorzystuje tzw. API token, czyli liczbę osadzoną w kodzie aplikacji. Jednak atakujący mogą „po prostu wyodrębnić ten token i użyć go nie tylko do odczytania przechowywanych danych, ale często nawet do manipulowania nimi”.

Dane użytkowników często trafiają do chmury w sposób niezamierzony, ponieważ twórcy aplikacji zajmują się uwierzytelnianiem (grafika: Fraunhofer SIT). Zainteresowanie napastników: Tak podsłuchiwane adresy e-mail mogą zostać sprzedane na przykład na czarnym rynku. Jeśli jest jeszcze więcej energii przestępczej, możliwe jest również, że użytkownicy są szantażowani, zmieniane są strony internetowe lub złośliwe oprogramowanie jest przemycane w celu rozprzestrzeniania złośliwego oprogramowania lub tworzenia botnetów.

Jak wyjaśnia profesor Eric Bodden z Fraunhofer SIT na stronie z najczęściej zadawanymi pytaniami, użytkownicy mają obecnie niewiele opcji ochrony przed utratą danych w ten sposób. Niechlujstwo jest po prostu zbyt powszechne wśród twórców aplikacji. Jego koledzy znaleźli do tej pory „tysiące podatnych na ataki aplikacji”, ale to może być tylko wierzchołek góry lodowej. Z punktu widzenia użytkowników końcowych trudno jest również zdecydować, które aplikacje lub typy aplikacji są wątpliwe, ponieważ nie ma łatwo rozpoznawalnych wskazówek, czy aplikacja korzysta z oferty backend-as-a-service, czy nie – oraz jeśli tak, czy ta usługa BaaS jest bezpieczna, a transfer danych został prawidłowo uregulowany.

„Ze względu na ograniczenia prawne i dużą liczbę podejrzanych aplikacji byliśmy w stanie szczegółowo zbadać tylko niewielką liczbę” – powiedział Bodden w komunikacie prasowym. „Jednak wyniki naszych badań i sam problem pokazują, że duża ilość informacji związanych z aplikacjami jest zagrożona kradzieżą i manipulacją tożsamością.” Dostawcy usług w chmurze zostali już poinformowani i poproszeni o wskazanie problemu twórcom aplikacji wśród ich klientów. „To oni muszą działać. Nie wolno lekceważyć niebezpieczeństwa ”- powiedział Bodden.

[z materiałem od Petera Marwana, ITespresso.de]

Wskazówka: Co zapisałeś o bazach danych? Sprawdź swoją wiedzę - z 15 pytaniami na silicon.de.