Actualización 2 de julio de 2018:
Google ha respondido a nuestra consulta y una pequeña conversación con un miembro del equipo de Google Cloud ha aclarado algunas de las preguntas que rodean este informe.
Las bases de datos de Firebase son seguras por defecto cuando se crean y todos estos casos son instancias en las que un desarrollador no ha seguido las mejores prácticas de una forma u otra. Google publica una guía completa sobre cómo proteger bases de datos en tiempo real con Firebase. Además, la consola de administración de Firebase muestra una advertencia inequívoca cuando se eliminan las protecciones predeterminadas normales de una base de datos y se configura para permitir el acceso público.
Google también me dice que se enviaron correos electrónicos a todos los proyectos inseguros con instrucciones completas sobre cómo volver a activar la seguridad de la base de datos en diciembre de 2017. Después de hablar con un miembro, queda claro si el equipo de Google Cloud que Firebase es tan seguro como todos pensábamos y que problemas como este se atribuyen a errores de los desarrolladores.
Ofertas de VPN: licencia de por vida por $ 16, planes mensuales a $ 1 y más
El artículo original aparece a continuación.
Firebase es un gran servicio para cualquier pequeño desarrollador que necesite tener un servicio en línea a su disposición. Está impulsado por Google y la compañía hace todo lo posible para ayudar a los desarrolladores a usarlo en sus aplicaciones móviles. Puede ver simplemente viendo cualquier video de sesión de E / S de Google sobre Firebase que los desarrolladores realmente aplauden cuando se menciona el servicio.
Aparentemente, algunos de esos desarrolladores han tenido problemas cuando se trata de configurar la base de datos que pueden estar usando para almacenar sus datos. Después de escanear 2,7 millones de aplicaciones, los investigadores de seguridad de Appthority dicen que hay más de 113 GB de datos disponibles a través de más de 2200 bases de datos de Firebase para cualquiera que conozca la URL correcta. En total, hay más de 100 millones de registros personales expuestos.
Los investigadores encontraron 28.500 aplicaciones que usaban Firebase para conectarse y almacenar los detalles de los usuarios, de las cuales 3.046 almacenaban sus datos dentro de una base de datos de Firebase mal configurada que se podía leer mediante el uso de una URL JSON esquema. La mayoría de las aplicaciones que usan Firebase son para Android, pero 600 aplicaciones que exponen datos son para iOS. El problema es independiente de la plataforma, y las aplicaciones en cuestión no son las culpables aquí. Es simplemente la configuración de la base de datos en el backend.
La información filtrada contiene:
- 2,6 millones de contraseñas de texto sin formato e ID de usuario.
- Más de 4 millones de registros de PHI (información médica protegida).
- 25 millones de registros de GPS.
- 50 mil transacciones financieras, incluidas las de Bitcoin.
- 4,5 millones de tokens de usuario de almacén de datos corporativos de Facebook, LinkedIn.
Appthority informó a Google sobre la configuración de la base de datos y proporcionó la lista de aplicaciones afectadas antes de que se publicara este informe. Nos comunicamos para ver si Google tiene algo que les gustaría agregar y lo actualizará una vez que se reciba.
Appthority no es ajeno a encontrar bases de datos en línea mal configuradas. Anteriormente, la empresa encontró datos de usuario "críticos" expuestos a través de servicios como MongoDB, CouchDB, Redis, MySQL y Twilio.
¿Has escuchado el podcast central de Android de esta semana?
Todas las semanas, Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Fuchsia es la plataforma de software de Google del futuro. Aquí es donde estamos hoy y cómo se desarrollará todo.
Horizon Forbidden West sigue a Aloy mientras explora el oeste en los antiguos Estados Unidos. Este nuevo título de Guerrilla Games muestra lo que el hardware de PS5 es capaz de hacer. Aquí tiene todo lo que necesita saber.
El mejor reloj inteligente de Huawei hasta ahora funciona con su propio software HarmonyOS, pero se inspira en los relojes de Apple y Google en todos los lugares correctos.
El buque insignia actual de Google es una gran losa de vidrio de innovación y poder, pero no significará mucho si lo dejas caer y rompes la pantalla. Proteja su inversión con una funda para Pixel 4 XL.
Jerry Hildenbrand
Jerry es un carpintero aficionado y un mecánico de árboles de sombra que lucha. No hay nada que no pueda desarmar, pero muchas cosas que no puede volver a montar. Lo encontrará escribiendo y expresando su opinión en voz alta sobre Android Central y ocasionalmente en Twitter.