一款流行的会计APP暴露了敏感的个人和公司数据
2023-12-11 17:50:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

据外媒报道,GST Invoice Billing Inventory(曾名Book Keeper)是一款面向中小型企业的流行会计应用程序,由于一个开放的数据库暴露了敏感的个人和企业数据。
据了解,该应用被企业用来发送发票、账单和预算,跟踪费用和收据,管理库存,发送财务报表等等,是谷歌应用商店上一款比较受欢迎的商业财务应用程序,有超过1.2万评论、100万次的下载,应用评分4星。
Cybernews在研究中发现,该应用程序的敏感数据被硬编码到了客户端,这意味着攻击者能够获取到API(应用程序编程接口)密钥、谷歌存储桶和未受保护的数据库,并通过分析关于应用程序的公开可用信息来利用这些信息。
Cybernews的报告中说,其对超过33000款Android应用程序进行了全面的研究,发现在Android应用程序的客户端中有超过14000个Firebase URL。其中有600多个是指向开放的Firebase实例的链接。GST Invoice Billing Inventory就是这600多款应用程序之一,它留下了一个开放的数据库,暴露了敏感的个人和公司数据。
Firebase是一个JSON数据库,用于存储有关应用程序及其用户的公共或私人信息。它是Android应用程序最流行的存储解决方案。数据集之中,用户数据有:电话号码、设备类型、电子邮件、帐户创建时间戳、地址以及高级应用程序版本购买数据等;公司数据有:名称、电子邮件、位置、发票计数、营业额、办公地址、银行/现金余额和令牌等。
“将敏感数据硬编码到Android应用程序的客户端是一个坏主意。在大多数情况下,它可以通过逆向工程轻松访问。” Cybernews研究员Vincentas Baubonis说。
安全公司Innovative Technologies的CEO Paul Tracey表示,经常能看到公司误以为该由内部IT员工或MSP(托管服务提供商)负责网络安全操作,但实际上,渗透测试应该是定期进行的,并且是由能够客观评估环境中风险的第三方进行。另一个错误是只要数据库工作正常,就不再进行维护或更新——直到它停止正常运行,乃至遭受勒索软件攻击。
对于公司和消费者来说,这类安全事件后果可能非常严重,比如面临停机、数据丢失、声誉损失、消费者信心下降、民事诉讼和勒索软件等。

编辑:左右里

资讯来源:cybernews

转载请注明出处和本文链接

每日涨知识

hash value(散列值)  

一个从文本字符串生成的数字。使用散列函数可以确保已传输的消息未被篡改。MD5 和SHA-1 都属于单向散列函数。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458531356&idx=2&sn=677cfee95872e0d9233e784220316590&chksm=b18d069686fa8f80dd43304ffb3087088a50187613d60914648d7821b0e712c2db0bb44f4d77&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh