2 Temmuz 2018’te güncelleme:
Google, soruşturmamıza yanıt verdi ve Google Cloud ekibinin bir üyesiyle yapılan bir tartışma biraz bu raporu çevreleyen birkaç soruyu temizledi.
Firebase veritabanları oluşturulduklarında varsayılan olarak güvenlidir ve bu durumların tümü bir geliştiricinin bir biçimde veya başka bir şekilde en iyi uygulamaları takip etmediği örneklerdir. Google, Firebase ile gerçek zamanlı veritabanlarını güvence altına almak için tam bir rehber yayınlar. Ek olarak, bir veritabanı normal varsayılan korumaları kaldırdığında ve herkese açık erişime izin verecek şekilde yapılandırıldığında, Firebase yönetici konsolu açık bir uyarı verir.
Google ayrıca, e-postaların güvenli olmayan tüm projelere Aralık 2017’de veritabanı güvenliğinin nasıl yeniden açılacağına dair tam talimatlarla birlikte gönderildiğini söyledi. Firebase’in düşündüğümüz kadar güvenli olduğu bir Google Cloud ekibi bir üyeyle konuştuktan sonra açık ve bu gibi konular geliştirici hatalarına atfedilmiştir.
Orijinal makale aşağıda görünmektedir.
Firebase, emrinde çevrimiçi bir hizmet alması gereken küçük geliştiriciler için harika bir hizmettir. Google tarafından desteklenmektedir ve şirket, geliştiricilerin mobil uygulamalarında kullanmasına yardımcı olmak için yolundan çekilir. Servisin söz konusu olduğunda geliştiricilerin gerçekten neşelendirdiği Firebase ile ilgili herhangi bir Google I / O oturum videosunu izleyerek görebilirsiniz.
Görünüşe göre, bu geliştiricilerin bazıları verilerinizi depolamak için kullanabilecekleri veritabanını yapılandırmak söz konusu olduğunda bir engelle karşı karşıya kaldı. 2, 7 milyon uygulamayı taradıktan sonra, Appthority'deki güvenlik araştırmacıları, doğru URL’yi bilen herkes için 2.200’den fazla Firebase veritabanında 113 GB’dan fazla veri bulunduğunu söylüyor. Toplamda 100 milyondan fazla kişisel kayıt var.
Araştırmacılar, kullanıcı bilgilerini bağlamak ve depolamak için Firebase'i kullanan 28.500 uygulama buldu, bunun 3.046'sı verileri JSON URL şeması kullanılarak okunabilen yanlış yapılandırılmış bir Firebase veritabanında saklandı. Firebase kullanan uygulamaların çoğu Android içindir, ancak verileri açıklayan 600 uygulama iOS içindir. Sorun platform agnostik ve söz konusu uygulamalar burada suçlu değil. Sadece arka uçtaki veritabanı konfigürasyonu.
Sızan bilgiler şunları içerir:
- 2, 6 milyon düz metin parola ve kullanıcı kimliği.
- 4 milyon + PHI (Korumalı Sağlık Bilgisi) kaydı.
- 25 milyon GPS kaydı.
- Bitcoin işlemleri de dahil olmak üzere 50 bin finansal.
- 4, 5 milyon Facebook, LinkedIn, kurumsal veri deposu kullanıcı belirteçleri.
Appthority, Google’ı veritabanı yapılandırması hakkında bilgilendirdi ve bu rapor yayınlanmadan önce etkilenen uygulamaların listesini verdi. Google’ın eklemek istedikleri bir şey olup olmadığını görmek için ulaştık ve alındıktan sonra güncellenecek.
Appthority, kötü yapılandırılmış çevrimiçi veritabanları bulmak için yabancı değil. Daha önce, şirket, MongoDB, CouchDB, Redis, MySQL ve Twilio gibi servislerle açığa çıkan "kritik" kullanıcı verilerini bulmuştu.
