Ažurirajte 2. srpnja 2018.:
Google je odgovorio na naš upit i malo razgovora s članom tima Google Cloud razriješilo je nekoliko pitanja koja se tiču ovog izvještaja.
Baze podataka Firebase zadano su sigurne kada se stvore, a svi su ti slučajevi slučajevi u kojima programer nije slijedio najbolje prakse u jednom ili drugom obliku. Google objavljuje cjeloviti vodič o osiguranju baza podataka u stvarnom vremenu s Firebaseom. Uz to, administrativna konzola Firebase prikazuje nepogrešivo upozorenje kada je baza podataka uklonila uobičajene zadane zaštite i konfigurirala se kako bi omogućila javni pristup.
Google mi također kaže da su e-poruke poslane svim nesigurnim projektima s cjelovitim uputama o tome kako ponovo uključiti sigurnost baze podataka u prosincu 2017. Nakon razgovora s članom ako je tim Google Clouda jasno da je Firebase jednako siguran kao što smo svi mislili bilo je i da se takva pitanja pripisuju greškama programera.
Izvorni se članak pojavljuje u nastavku.
Firebase je sjajna usluga za sve male programere koji trebaju imati dostupnu internetsku uslugu. Pokreće ga Google, a tvrtka izlazi s ciljem da pomogne programerima da ga koriste u svojim mobilnim aplikacijama. Možete vidjeti jednostavnim gledanjem bilo kojeg videozapisa o seriji I / O sesije o Firebaseu koji programeri zapravo razvesele kada se spominje usluga.
Očigledno, neki od tih programera udarili su u mrežu kada je u pitanju konfiguriranje baze podataka koju mogu koristiti za pohranu vaših podataka. Nakon skeniranja 2, 7 milijuna aplikacija, sigurnosni istraživači u Appthorityu kažu kako je preko 113 GB podataka dostupno kroz više od 2.200 baza podataka Firebase svima onima koji znaju pravi URL. Ukupno je izloženo više od 100 milijuna osobnih zapisa.
Istraživači su pronašli 28.500 aplikacija koje su koristile Firebase za povezivanje i pohranu korisničkih detalja, od kojih su 3.046 svoje podatke pohranili u pogrešno konfiguriranu bazu podataka Firebase koja je bila čitljiva korištenjem JSON sheme URL-ova. Većina aplikacija koje koriste Firebase namijenjene su Androidu, ali 600 aplikacija koje su izložene podatke namijenjene su za iOS. Problem je platformski-agnostički, a dotične aplikacije ovdje nisu krivci. To je jednostavno konfiguracija baze podataka na podlozi.
Informacije koje su procurile sadrže:
- 2, 6 milijuna otvorenih lozinki i korisničkih ID-ova.
- 4 milijuna + PHI (Protected Health Information) zapisa.
- 25 milijuna GPS zapisa.
- 50 tisuća financijskih uključujući i bitcoin transakcije.
- 4, 5 milijuna Facebook-a, LinkedIna, korporativnih tokena korisničkih spremišta podataka.
Appthority je obavijestio Google o konfiguraciji baze podataka i pružio je popis pogođenih aplikacija prije objavljivanja ovog izvješća. Pokušali smo vidjeti ima li Google nešto što bi željeli dodati i ažurirat će je kad je stigne.
Appthority nije stranac u pronalaženju loše konfiguriranih mrežnih baza podataka. Prije je tvrtka pronašla "kritične" korisničke podatke izložene putem servisa poput MongoDB, CouchDB, Redis, MySQL i Twilio.
