В Португалии утекли данные депутатов и студенческих организаций через Firebase-базу агентства BLAT Studio

Адреса, телефоны и почта депутатов: в Португалии нашли утечку данных через открытую Firebase-базу

В Португалии расследуют возможную утечку персональных данных политиков и студенческих организаций. В центре истории — BLAT Studio, лиссабонское креативное агентство, которое занимается дизайном, веб-разработкой, маркетингом и соцсетями. По данным Escudo Digital, злоумышленник получил доступ к открытой Firebase-базе агентства и выгрузил чувствительную информацию, включая данные представителей PSD — Социал-демократической партии Португалии.

Всего 127 записей, связанных с депутатами PSD. В них, как утверждается, были полные имена, физические адреса, номера телефонов, личные и рабочие email-адреса, должности, партийные роли и ссылки на соцсети: Facebook, Instagram, X/Twitter, TikTok, YouTube и LinkedIn.

Португальское издание Pplware ранее писало о публикации на онлайн-форуме, где упоминались BLAT Studio, PSD и несколько учебных организаций.

В утечке фигурируют три группы данных:

Первая — сведения о политиках PSD. Не только публичные имена и должности, а контактная и адресная информация, которая может использоваться для точечного фишинга, подмены личности, давления и физического преследования. Escudo Digital пишет о телефонах, личной почте, рабочих адресах, физических адресах и социальных профилях.

Вторая группа — данные студенческих ассоциаций. В публикациях называются ISCAL, Instituto Superior Técnico, FADU и Escola Superior de Música de Lisboa. По данным Escudo Digital, в этом блоке нашли 119 email-адресов и учётные данные, зашифрованные с использованием bcrypt и закодированные в Base64.

Третья группа — внутренние коммуникации BLAT Studio с клиентами. Escudo Digital пишет о более чем 1 млн строк внутренних сообщений, включая тела сообщений, временные метки, идентификаторы пользователей и вложения.

Firebase — облачная платформа Google для приложений, баз данных, авторизации и хостинга. Проблема в настройках доступа. Если база Firestore или Realtime Database открыта на чтение без нормальных правил безопасности, её можно найти и выгрузить без сложного взлома.

В этом случае источник несанкционированного доступа, как пишет Escudo Digital, связывают именно с Firebase-базой без должных защитных правил.

В 2024 году исследователи, опрошенные BleepingComputer, просканировали больше 5 млн доменов и нашли 916 сайтов с Firebase-инстансами без правил безопасности или с некорректной конфигурацией. В таких базах обнаружили более 125 млн чувствительных пользовательских записей, включая email, имена, телефоны, пароли и платёжные данные.

Escudo Digital связывает инцидент с актором под ником Boogeymann. У этого имени нет большой публичной истории, поэтому делать выводы о группе, стране, мотивации или заказчике нельзя.

В истории со студенческими ассоциациями упоминаются bcrypt-хеши. Это лучше, чем хранение паролей открытым текстом: bcrypt специально замедляет перебор и усложняет восстановление исходного пароля. Но это не значит, что риск исчез. Слабые пароли вроде student2024, password123 или комбинаций с названием организации могут подбираться быстрее, особенно если у атакующего есть email и контекст.

Base64 — это способ кодирования данных в текстовый формат. bcrypt отвечает за хеширование пароля, Base64 — только за упаковку результата в удобный вид.