Update 2 juli 2018:
Google heeft op onze vraag gereageerd en een beetje discussie met een lid van het Google Cloud-team heeft een aantal vragen rond dit rapport opgelost.
Firebase-databases zijn standaard veilig wanneer ze worden gemaakt en al deze gevallen zijn gevallen waarin een ontwikkelaar de best practices in de een of andere vorm niet heeft gevolgd. Google publiceert een volledige gids voor het beveiligen van realtime databases met Firebase. Bovendien geeft de Firebase-beheerconsole een onmiskenbare waarschuwing wanneer een database de normale standaardbeveiligingen heeft verwijderd en is geconfigureerd om openbare toegang toe te staan.
Google vertelt me ook dat e-mails zijn verzonden naar alle onveilige projecten met volledige instructies voor het inschakelen van databasebeveiliging in december 2017. Het is duidelijk na een gesprek met een lid of het Google Cloud-team dat Firebase zo veilig is als we allemaal hadden gedacht was en dat problemen zoals deze worden toegeschreven aan fouten van ontwikkelaars.
Het originele artikel verschijnt hieronder.
Firebase is een geweldige service voor elke kleine ontwikkelaar die een online service tot zijn beschikking moet hebben. Het wordt mogelijk gemaakt door Google en het bedrijf doet zijn uiterste best om ontwikkelaars te helpen het in hun mobiele apps te gebruiken. Je kunt het zien door simpelweg elke Google I / O-sessievideo over Firebase te bekijken die ontwikkelaars eigenlijk aanmoedigen wanneer de service wordt genoemd.
Blijkbaar hebben sommige van die ontwikkelaars een addertje onder het gras geraakt bij het configureren van de database die ze mogelijk gebruiken om uw gegevens op te slaan. Na 2, 7 miljoen apps te hebben gescand, zeggen beveiligingsonderzoekers van Appthority dat meer dan 113 GB aan gegevens beschikbaar is via meer dan 2.200 Firebase-databases voor iedereen die de juiste URL kent. In totaal zijn er meer dan 100 miljoen persoonlijke records blootgesteld.
Onderzoekers vonden 28.500 apps die Firebase gebruikten om gebruikersgegevens te verbinden en op te slaan, waarvan 3.046 hun gegevens opsloegen in een verkeerd geconfigureerde Firebase-database die leesbaar was door het gebruik van een JSON URL-schema. Het merendeel van de apps die Firebase gebruiken, is voor Android, maar 600 apps met gegevens die voor iOS zijn bedoeld. Het probleem is platform-agnostisch en de apps in kwestie zijn hier niet de boosdoener. Het is gewoon de databaseconfiguratie op de backend.
De gelekte informatie bevat:
- 2, 6 miljoen gewone tekstwachtwoorden en gebruikers-ID's.
- Meer dan 4 miljoen PHI-records (beschermde gezondheidsinformatie).
- 25 miljoen GPS-records.
- 50 duizend financiële inclusief Bitcoin-transacties.
- 4, 5 miljoen Facebook-, LinkedIn-, zakelijke gegevensopslagtokens voor gebruikers.
Appthority informeerde Google over de databaseconfiguratie en verstrekte de lijst met getroffen apps voordat dit rapport werd gepubliceerd. We hebben geprobeerd te kijken of Google iets heeft dat ze willen toevoegen en zullen het bijwerken zodra het is ontvangen.
Appthority is geen onbekende voor het vinden van slecht geconfigureerde online databases. Voorheen vond het bedrijf "kritieke" gebruikersgegevens die zijn blootgesteld via services zoals MongoDB, CouchDB, Redis, MySQL en Twilio.
