Cập nhật ngày 2 tháng 7 năm 2018:
Google đã trả lời câu hỏi của chúng tôi và một chút thảo luận với một thành viên của nhóm Google Cloud đã xóa một số câu hỏi xung quanh báo cáo này.
Cơ sở dữ liệu Firebase được bảo mật theo mặc định khi chúng được tạo và tất cả các trường hợp này là các trường hợp mà nhà phát triển đã không tuân theo các thực tiễn tốt nhất ở dạng này hay dạng khác. Google xuất bản một hướng dẫn đầy đủ về bảo mật cơ sở dữ liệu thời gian thực với Firebase. Ngoài ra, bảng điều khiển quản trị Firebase hiển thị cảnh báo không thể nhầm lẫn khi cơ sở dữ liệu đã xóa các bảo vệ mặc định thông thường và được định cấu hình để cho phép truy cập công khai.
Google cũng cho tôi biết rằng các email đã được gửi đến tất cả các dự án không an toàn với hướng dẫn đầy đủ về cách bật lại bảo mật cơ sở dữ liệu vào tháng 12 năm 2017. Rõ ràng sau khi nói chuyện với một thành viên nếu nhóm Google Cloud rằng Firebase an toàn như tất cả chúng ta đã nghĩ và những vấn đề như thế này được quy cho những sai lầm của nhà phát triển.
Bài viết gốc xuất hiện bên dưới.
Firebase là một dịch vụ tuyệt vời cho bất kỳ nhà phát triển nhỏ nào cần có một dịch vụ trực tuyến theo ý của họ. Nó được cung cấp bởi Google và công ty đã nỗ lực để giúp các nhà phát triển sử dụng nó trong các ứng dụng di động của họ. Bạn có thể xem bằng cách đơn giản xem bất kỳ video phiên I / O nào của Google về Firebase mà các nhà phát triển thực sự vui mừng khi dịch vụ được đề cập.
Rõ ràng, một số nhà phát triển đã gặp khó khăn khi định cấu hình cơ sở dữ liệu mà họ có thể đang sử dụng để lưu trữ dữ liệu của bạn. Sau khi quét 2, 7 triệu ứng dụng, các nhà nghiên cứu bảo mật tại Appthority cho biết hơn 113GB dữ liệu có sẵn thông qua hơn 2.200 cơ sở dữ liệu Firebase cho bất kỳ ai biết đúng URL. Tổng cộng, có hơn 100 triệu hồ sơ cá nhân bị lộ.
Các nhà nghiên cứu đã tìm thấy 28.500 ứng dụng sử dụng Firebase để kết nối và lưu trữ thông tin người dùng, trong đó 3.046 lưu trữ dữ liệu của họ bên trong cơ sở dữ liệu Firebase được định cấu hình sai có thể đọc được thông qua việc sử dụng lược đồ URL JSON. Phần lớn các ứng dụng sử dụng Firebase là dành cho Android, nhưng 600 ứng dụng tiếp xúc với dữ liệu dành cho iOS. Vấn đề là bất khả tri về nền tảng và các ứng dụng được đề cập không phải là thủ phạm ở đây. Nó chỉ đơn giản là cấu hình cơ sở dữ liệu trên phụ trợ.
Các thông tin bị rò rỉ có chứa:
- 2, 6 triệu mật khẩu văn bản gốc và ID người dùng.
- Hồ sơ 4 triệu + PHI (Thông tin sức khỏe được bảo vệ).
- 25 triệu hồ sơ GPS.
- 50 nghìn tài chính bao gồm các giao dịch Bitcoin.
- 4, 5 triệu Facebook, LinkedIn, mã thông báo lưu trữ dữ liệu của công ty.
Appthority đã thông báo cho Google về cấu hình cơ sở dữ liệu và cung cấp danh sách các ứng dụng bị ảnh hưởng trước khi báo cáo này được công bố. Chúng tôi đã liên hệ để xem Google có bất cứ điều gì họ muốn thêm không và sẽ cập nhật sau khi nhận được.
Appthority không xa lạ gì với việc tìm kiếm cơ sở dữ liệu trực tuyến có cấu hình kém. Trước đây, công ty đã tìm thấy dữ liệu người dùng "quan trọng" được phơi bày thông qua các dịch vụ như MongoDB, CouchDB, Redis, MySQL và Twilio.
