Flipaclip, o aplicativo de animação mais popular entre os adolescentes, expôs os detalhes de mais de 890 mil usuários.
A vulnerabilidade no aplicativo de animação quadro a quadro, disponível para iOS e Android, foi descoberta no início deste mês pelo pesquisador “BobDaHacker”, que a relatou aos desenvolvedores do FlipaClip, Visual Blasters.
A vulnerabilidade permitiu que partes não autorizadas acessassem informações sobre usuários de aplicativos de um servidor exposto do Google Firebase.
Após a divulgação da vulnerabilidade por BobDaHacker no Visual Blasters, um grupo diferente explorou a falha de segurança para exfiltrar dados – compartilhando-os com o repórter de segurança Ryan Fae.
De acordo com a Visual Blasters, não foi possível acessar informações altamente confidenciais relacionadas aos usuários do FlipaClip, como informações financeiras e senhas ou projetos de animação dos usuários.
No entanto, nomes, datas de nascimento, endereços de e-mail e países de residência estão sendo violados e é fácil imaginar como um fraudador poderia usar essas informações (por exemplo, em uma campanha de phishing) para enganar os animadores do FlipaClip para que fornecessem suas credenciais de login e outras informações confidenciais. .
Os mais vulneráveis seriam os usuários do FlipaClip com menos de 18 anos, que representariam quase 70% da base de usuários do aplicativo em 2022.
Graças à base mensal de usuários ativos da Flipaclip de mais de 6 milhões de pessoas, não há indicação de que as informações divulgadas do usuário sejam compartilhadas publicamente.
Josh Ward da Visual Blasters, desenvolvedor do FlipaClip, disse CyberInsider que a saída agora está “totalmente corrigida”.
De acordo com o tweet de Ryan Fae, FlipaClip afirma que está melhorando suas medidas de segurança e buscando aconselhamento jurídico sobre como notificar os controladores de dados sobre o incidente de segurança.
Infelizmente, parece que os usuários ainda não foram notificados pelo FlipaClip sobre a violação de dados, o que significa que é improvável que muitos saibam que há um problema de segurança – mesmo que o risco seja considerado alto.
Google Firebase é um serviço de banco de dados baseado em nuvem, comumente usado por sites e aplicativos para armazenar dados. Infelizmente, há um longo histórico de configurações mal configuradas do Firebase, deixando informações confidenciais expostas na Internet pública.
O Google publicou diretrizes de segurança para desenvolvedores, em um esforço para reduzir o número de bancos de dados Firebase mal configurados que expõem dados para aplicativos móveis.
