Update 2. Juli 2018:
Google hat auf unsere Anfrage geantwortet und einige Diskussionen mit einem Mitglied des Google Cloud-Teams haben einige der Fragen rund um diesen Bericht geklärt.
Firebase-Datenbanken sind standardmäßig sicher, wenn sie erstellt werden. In all diesen Fällen hat ein Entwickler in der einen oder anderen Form keine Best Practices befolgt. Google veröffentlicht einen vollständigen Leitfaden zum Sichern von Echtzeitdatenbanken mit Firebase. Darüber hinaus zeigt die Firebase-Administratorkonsole eine unmissverständliche Warnung an, wenn für eine Datenbank die normalen Standardschutzfunktionen entfernt und der öffentliche Zugriff zugelassen wurden.
Google teilt mir außerdem mit, dass E-Mails an alle unsicheren Projekte gesendet wurden, in denen ausführliche Anweisungen zum Wiedereinschalten der Datenbanksicherheit im Dezember 2017 enthalten sind. Nach einem Gespräch mit einem Mitglied ist klar, ob Firebase für das Google Cloud-Team so sicher ist, wie wir es uns alle vorgestellt hatten war und dass Probleme wie diese auf Entwicklerfehler zurückzuführen sind.
Der Originalartikel erscheint unten.
Firebase ist ein großartiger Service für alle kleinen Entwickler, die einen Online-Service benötigen. Es wird von Google unterstützt und das Unternehmen ist sehr bemüht, Entwicklern bei der Verwendung in ihren mobilen Apps zu helfen. Sie können durch einfaches Ansehen eines Google I / O-Sitzungsvideos über Firebase sehen, dass Entwickler tatsächlich jubeln, wenn der Dienst erwähnt wird.
Anscheinend haben einige dieser Entwickler Probleme, wenn es darum geht, die Datenbank zu konfigurieren, in der sie möglicherweise Ihre Daten speichern. Nach dem Scannen von 2, 7 Millionen Apps geben Sicherheitsforscher von Appthority an, dass mehr als 113 GB Daten über mehr als 2.200 Firebase-Datenbanken für alle verfügbar sind, die die richtige URL kennen. Insgesamt sind über 100 Millionen persönliche Aufzeichnungen ausgestellt.
Die Forscher fanden 28.500 Apps, die Firebase zum Verbinden und Speichern von Benutzerdetails verwendeten, von denen 3.046 ihre Daten in einer falsch konfigurierten Firebase-Datenbank speicherten, die mithilfe eines JSON-URL-Schemas lesbar war. Die meisten Apps, die Firebase verwenden, sind für Android, aber 600 Apps, die Daten offenlegen, sind für iOS. Das Problem ist plattformunabhängig, und die betreffenden Apps sind hier nicht die Schuldigen. Es ist einfach die Datenbankkonfiguration im Backend.
Die durchgesickerten Informationen enthalten:
- 2, 6 Millionen Klartext-Passwörter und Benutzer-IDs.
- 4 Millionen + PHI-Aufzeichnungen (Protected Health Information).
- 25 Millionen GPS-Aufzeichnungen.
- 50 Tausend finanzielle einschließlich Bitcoin-Transaktionen.
- 4, 5 Millionen Benutzer-Token für Facebook, LinkedIn und Unternehmensdatenspeicher.
Appthority hat Google über die Datenbankkonfiguration informiert und die Liste der betroffenen Apps bereitgestellt, bevor dieser Bericht veröffentlicht wurde. Wir haben versucht herauszufinden, ob Google etwas hat, das hinzugefügt werden soll, und werden es aktualisieren, sobald es eingegangen ist.
Appthority ist nicht fremd, wenn es darum geht, schlecht konfigurierte Online-Datenbanken zu finden. Bisher hat das Unternehmen "kritische" Benutzerdaten gefunden, die über Dienste wie MongoDB, CouchDB, Redis, MySQL und Twilio verfügbar gemacht wurden.
