Aktualizácia 2. júla 2018:
Spoločnosť Google odpovedala na náš dopyt a trochu diskusie s členom tímu Google Cloud objasnilo niekoľko otázok týkajúcich sa tejto správy.
Databázy Firebase sú v predvolenom nastavení zabezpečené pri ich vytvorení a všetky tieto prípady sú prípady, keď vývojár nedodržal osvedčené postupy v tej či onej podobe. Spoločnosť Google vydáva úplného sprievodcu zabezpečením databáz v reálnom čase pomocou systému Firebase. Správcovská konzola Firebase navyše zobrazuje nezameniteľné upozornenie, keď má databáza odstránené normálne predvolené ochrany a je nakonfigurovaná tak, aby umožňovala prístup verejnosti.
Google mi tiež hovorí, že e-maily boli zaslané na všetky nezabezpečené projekty s úplnými pokynmi na opätovné zapnutie zabezpečenia databázy v decembri 2017. Je jasné, že po rozhovore s členom je tím služby Google Cloud, že Firebase je rovnako bezpečná, ako sme si všetci mysleli. a také problémy sa pripisujú chybám vývojárov.
Pôvodný článok je uvedený nižšie.
Firebase je vynikajúca služba pre každého malého vývojára, ktorý potrebuje mať online službu k dispozícii. Je poháňaný spoločnosťou Google a spoločnosť prechádza vývojárom, aby pomohla vývojárom používať ho v mobilných aplikáciách. Môžete to vidieť tak, že jednoducho sledujete akékoľvek video relácie I / O relácie Google o Firebase, ktoré vývojári skutočne povzbudzujú, keď sa spomína služba.
Zdá sa, že niektorí z týchto vývojárov narazili na problém pri konfigurácii databázy, ktorú môžu používať na ukladanie vašich údajov. Po skenovaní 2, 7 milióna aplikácií výskumníci v oblasti bezpečnosti v Appthority tvrdia, že cez viac ako 2 200 databáz Firebase je k dispozícii každému, kto pozná správnu adresu URL, viac ako 113 GB údajov. Celkovo je vystavených viac ako 100 miliónov osobných záznamov.
Vedci našli 28 500 aplikácií, ktoré používali Firebase na pripojenie a ukladanie užívateľských detailov, z ktorých 3 046 ukladalo svoje dáta do nesprávne nakonfigurovanej databázy Firebase, ktorá bola čitateľná pomocou schémy JSON URL. Väčšina aplikácií, ktoré používajú Firebase, je pre Android, ale 600 aplikácií, ktoré vystavujú údaje, je pre iOS. Problém je agnostický pre platformu a príslušné aplikácie tu nie sú vinníkom. Je to jednoducho konfigurácia databázy na koncovom serveri.
Uniknuté informácie obsahujú:
- 2, 6 milióna holých hesiel a ID používateľov.
- 4 milióny záznamov PHI (Chránené zdravotné informácie).
- 25 miliónov GPS záznamov.
- 50 000 finančných transakcií vrátane bitcoinových transakcií.
- 4, 5 milióna Facebook, LinkedIn, tokeny používateľov podnikových dát.
Appthority informovala spoločnosť Google o konfigurácii databázy a pred uverejnením tohto prehľadu poskytla zoznam ovplyvnených aplikácií. Zistili sme, či má spoločnosť Google niečo, čo by chcela pridať, a po prijatí sa aktualizuje.
Appthority nie je cudzie pri hľadaní zle nakonfigurovaných online databáz. Spoločnosť v minulosti našla „kritické“ údaje o užívateľoch vystavené prostredníctvom služieb ako MongoDB, CouchDB, Redis, MySQL a Twilio.
