2018年7月2日更新:
Google已对我们的调查作出回应,并与Google Cloud团队成员进行了一些讨论,澄清了本报告中的一些问题。
Firebase数据库在创建时默认是安全的,并且所有这些情况都是开发人员未按照这种或那种形式遵循最佳实践的情况。 Google发布了使用Firebase保护实时数据库的完整指南。 此外,当数据库已删除正常的默认保护并配置为允许公共访问时,Firebase管理控制台会显示明显的警告。
谷歌还告诉我,电子邮件已经发送到所有不安全的项目,并在2017年12月重新开启了关于如何恢复数据库安全性的完整指示。如果Google Cloud团队认为Firebase与我们所认为的一样安全,那么与成员交谈后很明显是的,这样的问题归因于开发人员的错误。
原始文章如下所示。
Firebase对于任何需要在线服务的小型开发人员来说都是一项出色的服务。 它由Google提供支持,该公司不遗余力地帮助开发人员在其移动应用中使用它。 您可以通过简单地观看有关Firebase的任何Google I / O会话视频来看到开发人员在提及服务时实际上欢呼。
显然,在配置他们可能用来存储数据的数据库时,其中一些开发人员遇到了麻烦。 Appthority的安全研究人员在扫描了270万个应用程序后表示,通过2, 200多个Firebase数据库,可以向知道正确URL的任何人提供超过113GB的数据。 总共有超过1亿份个人记录被曝光。
研究人员发现了28, 500个使用Firebase连接和存储用户详细信息的应用程序,其中3, 046个数据存储在错误配置的Firebase数据库中,该数据库通过使用JSON URL方案可读。 大多数使用Firebase的应用都适用于Android,但有600个暴露数据的应用适用于iOS。 这个问题与平台无关,而且有问题的应用程序不是这里的罪魁祸首。 它只是后端的数据库配置。
泄露的信息包含:
- 260万个明文密码和用户ID。
- 400万+ PHI(受保护的健康信息)记录。
- 2500万GPS记录。
- 5万金融包括比特币交易。
- 450万Facebook,LinkedIn,企业数据存储用户令牌。
Appthority向Google通报了数据库配置,并在此报告发布之前提供了受影响的应用程序列表。 我们已经联系了Google是否有任何他们想要添加的内容,并会在收到后更新。
对于找到配置不当的在线数据库,Appthority并不陌生。 此前,该公司已经发现通过MongoDB,CouchDB,Redis,MySQL和Twilio等服务公开了“关键”用户数据。
