Aktualizacja 2 lipca 2018 r.:
Firma Google odpowiedziała na nasze zapytanie, a dyskusja z członkiem zespołu Google Cloud wyjaśniła kilka pytań dotyczących tego raportu.
Bazy danych Firebase są domyślnie bezpieczne podczas ich tworzenia, a wszystkie te przypadki są przypadkami, w których programista nie zastosował się do najlepszych praktyk w tej czy innej formie. Google publikuje pełny przewodnik na temat zabezpieczania baz danych w czasie rzeczywistym za pomocą Firebase. Ponadto konsola administracyjna Firebase wyświetla niewątpliwe ostrzeżenie, gdy w bazie danych usunięto normalne zabezpieczenia domyślne i skonfigurowano ją tak, aby umożliwić publiczny dostęp.
Google mówi mi również, że e-maile zostały wysłane do wszystkich niepewnych projektów z pełnymi wskazówkami, jak przywrócić bezpieczeństwo bazy danych w grudniu 2017 r. Po rozmowie z członkiem jest jasne, że zespół Google Cloud, że Firebase jest tak bezpieczny, jak wszyscy myśleliśmy było i że takie problemy są przypisywane błędom programisty.
Oryginalny artykuł pojawia się poniżej.
Firebase to świetna usługa dla każdego małego programisty, który musi mieć do dyspozycji usługę online. Jest obsługiwany przez Google, a firma dokłada wszelkich starań, aby pomóc programistom w użyciu ich w aplikacjach mobilnych. Możesz zobaczyć, po prostu oglądając dowolny film z sesji Google I / O o Firebase, który programiści dopingują, gdy wspomniana jest usługa.
Najwyraźniej niektórzy z tych programistów wpadli w kłopoty, jeśli chodzi o konfigurację bazy danych, której mogą używać do przechowywania danych. Po przeskanowaniu 2, 7 miliona aplikacji analitycy bezpieczeństwa w Appthority twierdzą, że ponad 113 GB danych jest dostępnych w ponad 2200 bazach danych Firebase dla każdego, kto zna właściwy adres URL. Ogółem ujawniono ponad 100 milionów danych osobowych.
Badacze znaleźli 28.500 aplikacji, które korzystały z Firebase do łączenia i przechowywania danych użytkownika, z czego 3046 zapisywało swoje dane w źle skonfigurowanej bazie danych Firebase, którą można było odczytać za pomocą schematu JSON URL. Większość aplikacji korzystających z Firebase jest na Androida, ale 600 aplikacji, które ujawniły dane, jest na iOS. Problem jest niezależny od platformy, a aplikacje, o których mowa, nie są tutaj winowajcą. To po prostu konfiguracja bazy danych na backendie.
Wyciekane informacje zawierają:
- 2, 6 miliona haseł w postaci jawnego tekstu i identyfikatorów użytkowników.
- 4 miliony + rekordy PHI (Protected Health Information).
- 25 milionów rekordów GPS.
- 50 tysięcy finansowych, w tym transakcji Bitcoin.
- 4, 5 miliona tokenów użytkowników Facebooka, LinkedIn, korporacyjnych magazynów danych.
Appthority poinformowało Google o konfiguracji bazy danych i dostarczyło listę aplikacji, których dotyczy problem, przed opublikowaniem tego raportu. Dotarliśmy, aby sprawdzić, czy Google ma coś, co chcieliby dodać, i zaktualizujemy po otrzymaniu.
Appthority nie jest obca znalezieniu źle skonfigurowanych internetowych baz danych. Wcześniej firma znalazła „krytyczne” dane użytkownika udostępniane za pośrednictwem usług takich jak MongoDB, CouchDB, Redis, MySQL i Twilio.
