Theo TechRadar, hàng trăm ứng dụng dành cho thiết bị di động đã bị phát hiện làm rò rỉ thông tin đăng nhập của dịch vụ Amazon Web Services (AWS).
Một phân tích gần đây của Symantec đã xác định 1.859 ứng dụng công khai, 98% trong số đó là ứng dụng iOS, chứa thông tin đăng nhập AWS được mã hóa cứng có thể khiến dữ liệu của người dùng gặp rủi ro.
Công ty đã tìm thấy hơn 3/4 (77%) ứng dụng chứa token truy cập AWS hợp lệ cho phép khả năng truy cập vào các dịch vụ đám mây AWS riêng tư và gần một nửa (47%) chứa token AWS hợp lệ cấp quyền truy cập vào hàng triệu các tệp riêng tư qua dịch vụ Amazon Simple Storage Service (Amazon S3).
Nhà nghiên cứu bảo mật Kevin Watkins cho biết một số lý do dẫn đến các lỗ hổng gồm có việc sử dụng các thư viện và SDK phần mềm bên ngoài dễ bị tấn công, thuê ngoài việc phát triển ứng dụng và quá trình làm việc đan xen giữa các nhóm nhân viên khiến cho việc thiếu thông tin và giao tiếp kém hiệu quả.
Phân tích bảo mật đã cho thấy có 3 công ty bị ảnh hưởng. Đầu tiên là một công ty B2B chuyên cung cấp mạng nội bộ và nền tảng truyền thông, đã cung cấp SDK di động cho khách hàng làm lộ các khóa bảo mật cơ sở hạ tầng đám mây của công ty, làm rò rỉ hồ sơ tài chính và dữ liệu cá nhân.
Tiếp đến là một số ứng dụng ngân hàng trên iOS đã sử dụng ID kỹ thuật số và thành phần xác thực của các ứng dụng tương ứng được thuê từ đối tác ngoài. Người dùng bị ảnh hưởng của SDK này đã bị lộ dữ liệu cá nhân bao gồm tên và ngày sinh. Hơn nữa, hơn 300.000 dấu vân tay đã bị rò rỉ bởi 5 ứng dụng ngân hàng.
Cuối cùng, một công ty khách sạn và giải trí đã hợp tác với một công ty khác để chia sẻ nền tảng công nghệ của họ, đã bị phát hiện là để lộ dữ liệu kinh doanh và khách hàng từ một thư viện đang được sử dụng bởi 16 ứng dụng khác nhau.
Các kết quả nghiên cứu đã được chia sẻ với các công ty bị ảnh hưởng, tuy nhiên vẫn chưa biết liệu các vấn đề có được giải quyết ngay hay không.