Actualizare 2 iulie 2018:
Google a răspuns la ancheta noastră și un pic de discuții cu un membru al echipei Google Cloud a clarificat câteva dintre întrebările din acest raport.
Bazele de date Firebase sunt securizate în mod implicit atunci când sunt create și toate aceste cazuri sunt cazuri în care un dezvoltator nu a urmat cele mai bune practici într-o formă sau alta. Google publică un ghid complet privind securizarea bazelor de date în timp real cu Firebase. În plus, consola de administrare Firebase afișează un avertisment inconfundabil atunci când o bază de date a eliminat protecțiile implicite normale și este configurată pentru a permite accesul publicului.
De asemenea, Google îmi spune că e-mailurile au fost trimise către toate proiectele nesigure, cu indicații complete despre cum să reveniți securitatea bazei de date în decembrie 2017. Este clar după ce am vorbit cu un membru dacă echipa Google Cloud că Firebase este la fel de sigură, așa cum am crezut cu toții. a fost și că probleme de genul acesta sunt atribuite greșelilor dezvoltatorilor.
Articolul original apare mai jos.
Firebase este un serviciu excelent pentru orice mic dezvoltator care are nevoie de un serviciu online la dispoziția lor. Este alimentat de Google, iar compania își scoate drumul pentru a ajuta dezvoltatorii să-l folosească în aplicațiile lor mobile. Puteți vedea prin simpla vizionare a oricărui videoclip de sesiune Google I / O despre Firebase pe care dezvoltatorii îl înveselesc de fapt atunci când serviciul este menționat.
Aparent, unii dintre acești dezvoltatori au dat lovitura când vine vorba de configurarea bazei de date pe care o pot utiliza pentru a stoca datele. După ce a scanat 2, 7 milioane de aplicații, cercetătorii de securitate de la Appthority spun că peste 113 GB de date sunt disponibile prin peste 2.200 de baze de date Firebase pentru oricine știe adresa URL potrivită. În total, sunt expuse peste 100 de milioane de înregistrări personale expuse.
Cercetătorii au găsit 28.500 de aplicații care au folosit Firebase pentru a conecta și a stoca detaliile utilizatorului, dintre care 3.046 și-au stocat datele într-o bază de date Firebase neconfigurată, care putea fi citită prin utilizarea unei scheme URL JSON. Majoritatea aplicațiilor care folosesc Firebase sunt pentru Android, dar 600 de aplicații care au expus date sunt pentru iOS. Problema este platform-agnostic, iar aplicațiile în cauză nu sunt vinovate aici. Este pur și simplu configurația bazei de date din backend.
Informațiile scurse conțin:
- 2, 6 milioane de parole și coduri de utilizator.
- 4 milioane + înregistrări PHI (Protected Health Information).
- 25 de milioane de înregistrări GPS.
- 50 de mii financiare, inclusiv tranzacții Bitcoin.
- 4, 5 milioane de jetoane pentru utilizatorii magazinului de date Facebook, LinkedIn, corporate.
Appthority a informat Google despre configurația bazei de date și a furnizat lista aplicațiilor afectate înainte de publicarea acestui raport. Am ajuns să vedem dacă Google are ceva ce ar dori să adauge și va actualiza odată ce va fi primit.
Appthority nu este străin de a găsi baze de date online prost configurate. Anterior, compania a găsit date „critice” ale utilizatorilor expuse prin servicii precum MongoDB, CouchDB, Redis, MySQL și Twilio.
