Обновление 2 июля 2018 года:
Google ответил на наш запрос, и небольшая дискуссия с членом команды Google Cloud прояснила некоторые из вопросов, связанных с этим отчетом.
Базы данных Firebase по умолчанию безопасны при их создании, и все эти случаи являются случаями, когда разработчик не следовал рекомендациям в той или иной форме. Google публикует полное руководство по защите баз данных в реальном времени с помощью Firebase. Кроме того, консоль администратора Firebase отображает безошибочное предупреждение, когда в базе данных были удалены обычные средства защиты по умолчанию, и она настроена на открытый доступ.
Google также сообщает, что во все небезопасные проекты были отправлены электронные письма с подробными инструкциями о том, как включить защиту базы данных в декабре 2017 года. После разговора с одним из участников станет ясно, безопасна ли Firebase команда Google Cloud, как мы все думали было и что подобные проблемы приписываются ошибкам разработчика.
Оригинальная статья появляется ниже.
Firebase - отличный сервис для любого маленького разработчика, которому нужно иметь онлайн-сервис. Он работает на Google, и компания старается помочь разработчикам использовать его в своих мобильных приложениях. Вы можете просто посмотреть любое видео-сеанс Google I / O о Firebase, которое разработчики действительно приветствуют, когда упоминается служба.
Очевидно, что некоторые из этих разработчиков столкнулись с трудностями при настройке базы данных, которую они могут использовать для хранения ваших данных. После сканирования 2, 7 миллионов приложений, исследователи из Appthority утверждают, что более 113 ГБ данных доступны через более 2200 баз данных Firebase для всех, кто знает правильный URL. Всего выставлено более 100 миллионов личных записей.
Исследователи обнаружили 28 500 приложений, которые использовали Firebase для подключения и хранения пользовательских данных, из которых 3046 хранили свои данные в неправильно сконфигурированной базе данных Firebase, которую можно было прочитать с помощью схемы URL-адресов JSON. Большинство приложений, использующих Firebase, предназначены для Android, но 600 приложений, предоставляющих данные, предназначены для iOS. Проблема не зависит от платформы, и рассматриваемые приложения здесь не являются виновником. Это просто конфигурация базы данных на сервере.
Утечка информации содержит:
- 2, 6 миллиона незашифрованных паролей и идентификаторов пользователей.
- 4 миллиона + PHI (Защищенная медицинская информация).
- 25 миллионов записей GPS.
- 50 тысяч финансовых, включая биткойн-транзакции.
- 4, 5 миллиона Facebook, LinkedIn, корпоративные хранилища данных пользовательских токенов.
Appthority проинформировала Google о конфигурации базы данных и предоставила список уязвимых приложений до публикации этого отчета. Мы связались, чтобы узнать, есть ли у Google что-нибудь, что они хотели бы добавить, и обновят ли они, как только получат
Appthority не привыкать находить плохо настроенные онлайн-базы данных. Ранее компания обнаружила, что «критические» пользовательские данные доступны через такие сервисы, как MongoDB, CouchDB, Redis, MySQL и Twilio.
