Frissítés 2018. július 2-án:
A Google válaszolt a kérdésünkre, és a Google Cloud csapata tagjával folytatott egy kissé megbeszélés tisztázta a jelentéssel kapcsolatos néhány kérdést.
A Firebase adatbázisok alapértelmezés szerint biztonságban vannak a létrehozásuk során, és ezek az esetek mindazok az esetek, amikor a fejlesztő egyik vagy másik formában nem követi a legjobb gyakorlatokat. A Google teljes útmutatót tesz közzé a valósidejű adatbázisok Firebase segítségével történő biztosításáról. Ezenkívül a Firebase adminisztrációs konzolja félreérthetetlen figyelmeztetést jelenít meg, amikor az adatbázis eltávolította a normál alapértelmezett védelmet, és úgy lett beállítva, hogy lehetővé tegye a nyilvános hozzáférést.
A Google azt is elmondja nekem, hogy minden nem biztonságos projekthez e-maileket küldtek, teljes útmutatással, hogy miként lehet visszaállítani az adatbázis biztonságát 2017. decemberében. Egy taggal folytatott beszélgetés után egyértelmű, hogy a Google Cloud csapata szerint a Firebase olyan biztonságos, mint mi mindannyian gondoltuk. volt, és hogy az ilyen kérdéseket a fejlesztői hibáknak tulajdonítják.
Az eredeti cikk az alábbiakban jelenik meg.
A Firebase kiváló szolgáltatás minden kis fejlesztő számára, akiknek online szolgáltatással kell rendelkezniük. Ezt a Google működteti, és a cég nem jár útjában, hogy segítsen a fejlesztőknek mobil alkalmazásukban történő felhasználásában. A Firebase-ről szóló Google I / O munkamenet videóinak megtekintésével láthatja, hogy a fejlesztők valóban éljenzik a szolgáltatás említésekor.
Úgy tűnik, hogy ezeknek a fejlesztőknek néhány akadálya van az adatbázis konfigurálásakor, amelyet az adatok tárolására használnak. A 2, 7 millió alkalmazás beolvasása után az Appthority biztonsági kutatói szerint több mint 113 GB adat elérhető több mint 2200 Firebase adatbázisban, bárki számára, aki ismeri a megfelelő URL-t. Összességében több mint 100 millió személyi rekord van kitéve.
A kutatók 28 500 olyan alkalmazást találtak, amelyek a Firebase-t használják a felhasználói adatok összekapcsolására és tárolására, amelyek közül 3, 046 adataikat egy hibásan konfigurált Firebase-adatbázisban tárolták, amely JSON URL-séma segítségével olvasható volt. A Firebase-t használó alkalmazások többsége Android-országra vonatkozik, de 600 olyan alkalmazás, amelyik kitett adatokat tartalmaz, iOS-re vonatkozik. A probléma platform-agnosztikus, és a szóban forgó alkalmazások nem itt a tettes. Ez egyszerűen az adatbázis-konfiguráció a háttérben.
A kiszivárogtatott információ a következőket tartalmazza:
- 2, 6 millió egyszerű szöveges jelszó és felhasználói azonosító.
- 4 millió + PHI (Protected Health Information) nyilvántartás.
- 25 millió GPS rekord.
- 50 ezer pénzügyi, beleértve a Bitcoin tranzakciókat.
- 4, 5 millió Facebook, LinkedIn, vállalati adattároló felhasználói token.
Az Appthority a jelentés közzététele előtt tájékoztatta a Google-t az adatbázis konfigurációjáról, és átadta az érintett alkalmazások listáját. Megkeresettük a kérdést, hogy van-e a Google-nak valami, amit hozzá szeretnének adni, és frissítjük, amint megkapjuk.
Az Appthority nem idegen a rosszul konfigurált online adatbázisok megtalálásához. Korábban a vállalat olyan "kritikus" felhasználói adatokat talált, amelyek olyan szolgáltatásokon keresztül vannak kitéve, mint a MongoDB, CouchDB, Redis, MySQL és Twilio.
