Uppdatering 2 juli 2018:
Google har svarat på vår förfrågan och lite diskussioner med en medlem av Google Cloud-teamet har rensat upp några av frågorna kring denna rapport.
Firebas-databaser är som standard säkra när de skapas och alla dessa fall är fall där en utvecklare inte har följt bästa praxis i en eller annan form. Google publicerar en fullständig guide för att säkra databaser i realtid med Firebase. Dessutom visar Firebase-administratörskonsolen en otänkbar varning när en databas har tagit bort de normala standardskydd och är konfigurerade för att möjliggöra allmän åtkomst.
Google berättar också för mig att e-postmeddelanden skickades till alla osäkra projekt med fullständiga anvisningar om hur man sätter tillbaka databassäkerhet i december 2017. Det är tydligt efter att ha pratat med en medlem om Google Cloud-teamet att Firebase är lika säker som vi alla trodde det var och att problem som detta tillskrivs utvecklarens misstag.
Den ursprungliga artikeln visas nedan.
Firebase är en fantastisk tjänst för alla små utvecklare som behöver ha en onlinetjänst till sitt förfogande. Det drivs av Google och företaget går ur sitt sätt att hjälpa utvecklare att använda det i sina mobilappar. Du kan se genom att helt enkelt titta på alla Google I / O-sessioner om Firebase som utvecklare faktiskt hejar när tjänsten nämns.
Uppenbarligen har några av dessa utvecklare träffat en ansträngning när det gäller att konfigurera databasen de kan använda för att lagra dina data. Efter att ha skannat 2, 7 miljoner appar säger säkerhetsforskare på Appthority att mer än 113 GB data är tillgängliga via över 2 200 Firebase-databaser för alla som vet rätt URL. Totalt exponeras över 100 miljoner personliga poster.
Forskare hittade 28 500 appar som använde Firebase för att ansluta och lagra användarinformation, varav 3 046 lagrade sina data i en felkonfigurerad Firebase-databas som var läsbar genom användning av ett JSON URL-schema. De flesta appar som använder Firebase är för Android, men 600 appar som exponerar data är för iOS. Problemet är plattformsagnostiskt, och apparna i fråga är inte den skyldige här. Det är helt enkelt databaskonfigurationen på backend.
Den läckta informationen innehåller:
- 2, 6 miljoner vanliga lösenord och användar-ID.
- 4 miljoner + PHI (Protected Health Information) poster.
- 25 miljoner GPS-poster.
- 50 tusen finansiella inklusive Bitcoin-transaktioner.
- 4, 5 miljoner Facebook, LinkedIn, användartokens för datalager.
Appthority informerade Google om databaskonfigurationen och tillhandahöll en lista över berörda appar innan denna rapport publicerades. Vi har nått ut för att se om Google har något de vill lägga till och kommer att uppdateras när det har mottagits.
Appthority är inte främling för att hitta dåligt konfigurerade databaser. Tidigare har företaget hittat "kritiska" användardata exponerade genom tjänster som MongoDB, CouchDB, Redis, MySQL och Twilio.
