الأخبار

تم ترك الآلاف من قواعد البيانات السحابية لتطبيقات الأجهزة المحمولة مكشوفة عبر الإنترنت

تستمر الشركات في ترك قواعد بياناتها السحابية Cloud databases غير آمنة عبر الإنترنت على الرغم من مخاطر تعرض بيانات الشركة وحتى بيانات المستخدم.

بعد دراسة مدتها ثلاثة أشهر، Check Point Research (CPR) وجدت 2113 تطبيقًا للهاتف المحمول كانت قواعد بياناتها غير محمية في السحابة ويمكن الوصول إليها من قبل أي شخص لديه متصفح.

تراوحت تطبيقات الأجهزة المحمولة التي تحتوي على قواعد بيانات مكشوفة من تلك التي تحتوي على أكثر من 10 آلاف عملية تنزيل وصولاً إلى تطبيقات شائعة جدًا بأكثر من 10 ملايين عملية تنزيل. وجدت CPR مجموعة متنوعة من البيانات الحساسة من التطبيقات المعنية بما في ذلك رسائل الدردشة والصور الشخصية وأرقام الهواتف ورسائل البريد الإلكتروني وأسماء المستخدمين وكلمات المرور والمزيد.

شرح Lotem Finkelsteen، رئيس استخبارات التهديدات والأبحاث في Check Point Software، كيف تمكن باحثو الأمن في الشركة من العثور بسهولة على قواعد البيانات المكشوفة هذه باستخدام الأداة المجانية عبر الإنترنت VirusTotal، قائلاً:

"في هذا البحث، نوضح مدى سهولة تحديد مجموعات البيانات والموارد الهامة المفتوحة على السحابة لأي شخص يمكنه الوصول إليها ببساطة عن طريق التصفح. نحن نشارك طريقة بسيطة لكيفية قيام المتسللين بذلك. تتضمن المنهجية البحث في مستودعات الملفات العامة مثل VirusTotal لتطبيقات الأجهزة المحمولة التي تستخدم الخدمات السحابية. يمكن للمخترق الاستعلام عن VirusTotal عن المسار الكامل إلى الخلفية السحابية لتطبيق الهاتف المحمول. نشارك بعض الأمثلة لما يمكن أن نجده هناك بأنفسنا. كل ما وجدناه متاح لأي شخص. في النهاية، من خلال هذا البحث أثبتنا مدى سهولة حدوث خرق للبيانات أو استغلالها. كمية البيانات المفتوحة والمتاحة لأي شخص على السحابة مجنونة. الاختراق أسهل بكثير مما نعتقد ".
 
تطبيقات الهاتف مع قواعد البيانات المكشوفة
في منشور مدونة جديد، قدم CPR عدة أمثلة من دراسته دون ذكر أسماء تطبيقات الأجهزة المحمولة التي تركت قواعد بياناتها السحابية غير آمنة عبر الإنترنت.

التطبيق الأول لسلسلة متاجر كبيرة في أمريكا الجنوبية تم تنزيله أكثر من 10 ملايين مرة. من خلال البحث في VirusTotal، تمكن CPR من العثور على بيانات اعتماد بوابة API ومفتاح API. ومما زاد الطين بلة، كانت بيانات الاعتماد هذه بنص عادي ويمكن لأي شخص قراءتها واستخدامها للوصول إلى حسابات عملاء المتجر متعدد الأقسام.

التطبيق التالي هو تطبيق تعقب قيد التشغيل مصمم لتتبع وتحليل أداء العداء وقد تم تنزيله أكثر من 100 ألف مرة. تحتوي قاعدة البيانات الخاصة به على إحداثيات GPS للمستخدمين ومعايير صحية أخرى مثل معدل ضربات القلب. مع وجود هذه المعلومات في متناول اليد، يمكن للمهاجم إنشاء خرائط لتتبع مكان مستخدمي التطبيق.

بعد ذلك، عثر CPR أيضًا على قاعدة البيانات المكشوفة لتطبيق صانع الشعارات المستخدم على نطاق واسع والذي تم تنزيله أكثر من 10 ملايين مرة. كان يوجد داخل قاعدة البيانات 130 ألف اسم مستخدم ورسائل بريد إلكتروني وكلمات مرور.

بالإضافة إلى هذه التطبيقات، جاء CPR أيضًا عبر قواعد البيانات غير الآمنة لقارئ PDF الشهير بالإضافة إلى تطبيق مسك الدفاتر.

بنفس الطريقة التي يوصي بها خبراء الأمن بأن يحمي المستهلكون هواتفهم الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة بكلمات مرور قوية ومعقدة، كذلك يجب على الشركات التي تستخدم قواعد البيانات السحابية لتخزين البيانات لتطبيقات الأجهزة المحمولة الخاصة بهم.