Оновлення 2 липня 2018 року:
Google відповів на наш запит, і трохи обговорення з членом команди Cloud Cloud вирішило декілька питань, пов’язаних із цим звітом.
Бази даних Firebase за замовчуванням захищені, коли вони створюються, і всі ці випадки є випадками, коли розробник не дотримувався кращих практик у тій чи іншій формі. Google публікує повний посібник із забезпечення баз даних у режимі реального часу за допомогою Firebase. Крім того, консоль адміністратора Firebase відображає безпомилкове попередження, коли в базі даних було знято звичайні захищання за замовчуванням і налаштовано для доступу до загального доступу.
Google також повідомляє мені, що електронні листи надсилалися всім небезпечним проектам із повними вказівками щодо повернення безпеки бази даних у грудні 2017 року. Після розмови з членом служби Cloud Cloud зрозуміло, що Firebase така безпечна, як ми всі думали про це було, і такі питання пов'язані з помилками розробника.
Оригінальна стаття з’являється нижче.
Firebase - це чудовий сервіс для будь-якого невеликого розробника, якому потрібно мати в своєму розпорядженні онлайн-сервіс. Він працює від Google, і компанія виходить зі шляху, щоб допомогти розробникам використовувати його у своїх мобільних додатках. Ви можете побачити, просто переглянувши будь-яке відео сеансу вводу-виводу Google про Firebase, яке розробники насправді розвеселили, коли сервіс згадується.
Мабуть, деякі з цих розробників натрапили на корч, коли справа доходить до налаштування бази даних, яку вони можуть використовувати для зберігання ваших даних. Після сканування 2, 7 мільйонів додатків, дослідники служби Appthority заявляють, що понад 113 ГБ даних доступно через понад 2200 баз даних Firebase для всіх, хто знає правильну URL-адресу. Загалом виставлено понад 100 мільйонів особистих рекордів.
Дослідники знайшли 28 500 додатків, які використовували Firebase для підключення та зберігання реквізитів користувачів, з яких 3046 зберігали свої дані у неправильно налаштованій базі даних Firebase, яку можна було прочитати за допомогою схеми URL-адреси JSON. Більшість додатків, які використовують Firebase, призначені для Android, але 600 додатків, які відкрили дані, призначені для iOS. Проблема полягає в платформі-агностиці, і питання, про які йдеться, тут не є винуватцем. Це просто конфігурація бази даних на бекенді.
Інформація, що витікала, містить:
- 2, 6 мільйона простих паролів і ідентифікаторів користувачів.
- 4 мільйони + PHI (захищена інформація про здоров'я).
- 25 мільйонів записів GPS.
- 50 тисяч фінансових, включаючи транзакції з біткойнами.
- 4, 5 мільйона Facebook, LinkedIn, корпоративні жетони корпоративного зберігання даних.
Appthority повідомив Google про конфігурацію бази даних та надав список програм, які стосуються цього, до публікації цього звіту. Ми звернули увагу, чи є в Google щось, що вони хотіли б додати, і оновлюватимуться після отримання.
Appthority не дивно знайти погано налаштовані онлайн-бази даних. Раніше компанія виявила "критичні" дані користувачів, що піддаються впливу таких служб, як MongoDB, CouchDB, Redis, MySQL та Twilio.
