Opdatering 2. juli 2018:
Google har svaret på vores forespørgsel, og en smule diskussion med et medlem af Google Cloud-teamet har ryddet nogle få af spørgsmålene omkring denne rapport.
Firebase-databaser er som standard sikre, når de oprettes, og alle disse tilfælde er tilfælde, hvor en udvikler ikke har fulgt bedste praksis i en eller anden form. Google udgiver en komplet guide til sikring af databaser i realtid med Firebase. Derudover viser Firebase-administrationskonsollen en umiskendelig advarsel, når en database har fjernet de normale standardbeskyttelser og er konfigureret til at give mulighed for offentlig adgang.
Google fortæller mig også, at der blev sendt e-mails til alle usikre projekter med komplette instruktioner om, hvordan man kan slå databasesikkerhed tilbage i december 2017. Det er klart efter at have talt med et medlem, om Google Cloud-teamet, at Firebase er så sikker som vi alle troede det var var, og at problemer som dette tilskrives udviklerfejl.
Den originale artikel vises nedenfor.
Firebase er en fantastisk service for enhver lille udvikler, der har brug for en onlinetjeneste til rådighed. Det drives af Google, og virksomheden går ud af sin måde at hjælpe udviklere med at bruge det i deres mobile apps. Du kan se ved blot at se en hvilken som helst Google I / O-sessionvideo om Firebase, som udviklere faktisk jubler, når tjenesten nævnes.
Tilsyneladende har nogle af disse udviklere ramt en ulempe, når det kommer til at konfigurere den database, de muligvis bruger til at gemme dine data. Efter at have scannet 2, 7 millioner apps, siger sikkerhedsforskere hos Appthority, at mere end 113 GB data er tilgængelige gennem over 2.200 Firebase-databaser til alle, der kender den rigtige URL. I alt er der over 100 millioner personlige poster udsat.
Forskere fandt 28.500 apps, der brugte Firebase til at forbinde og gemme brugeroplysninger, hvoraf 3.046 lagrede deres data i en forkert konfigureret Firebase-database, som kunne læses gennem brug af en JSON URL-ordning. Størstedelen af de apps, der bruger Firebase, er til Android, men 600 apps, der eksponerede data er til iOS. Problemet er platform-agnostisk, og de pågældende apps er ikke den skyldige her. Det er simpelthen databasekonfigurationen på backend.
De lækkede oplysninger indeholder:
- 2, 6 millioner almindelige adgangskoder og bruger-id'er.
- 4 millioner + PHI-poster (Protected Health Information).
- 25 millioner GPS-poster.
- 50 tusind finansielle inklusive Bitcoin-transaktioner.
- 4, 5 millioner Facebook, LinkedIn, brugertokener til firmadatabutikker.
Appthority informerede Google om databasekonfigurationen og leverede listen over berørte apps, før denne rapport blev offentliggjort. Vi har nået ud for at se, om Google har noget, de gerne vil tilføje, og vil opdatere, når det er modtaget.
Appthority er ikke fremmed for at finde dårligt konfigurerede online databaser. Tidligere har virksomheden fundet "kritiske" brugerdata eksponeret gennem tjenester som MongoDB, CouchDB, Redis, MySQL og Twilio.
