Atnaujinkite 2018 m. Liepos 2 d .:
„Google“ atsakė į mūsų užklausą, o šiek tiek diskusijų su „Google Cloud“ komandos nariu išsiaiškino keletą klausimų, susijusių su šia ataskaita.
„Firebase“ duomenų bazės yra saugios pagal nutylėjimą kai jie kuriami, ir visi šie atvejai yra atvejai, kai kūrėjas nesilaikė vienos ar kitos formos geriausios praktikos. „Google“ skelbia išsamų vadovą, kaip saugoti duomenų bazes realiuoju laiku naudojant „Firebase“. Be to, „Firebase“ administratoriaus pultas pateikia neabejotiną įspėjimą, kai duomenų bazėje buvo pašalintos įprastos numatytosios apsaugos ir ji sukonfigūruota leisti viešai prieigai.
„Google“ taip pat man sako, kad visiems nesaugiems projektams buvo išsiųsti el. Laiškai su išsamiomis instrukcijomis, kaip 2017 m. Gruodžio mėn. Vėl įjungti duomenų bazės saugumą. Po pokalbio su nariu aišku, ar „Google Cloud“ komanda tvirtina, kad „Firebase“ yra tokia saugi, kaip mes visi manėme, ir kad tokios problemos priskiriamos kūrėjų klaidoms.
VPT pasiūlymai: Viso laikotarpio licencija už 16 USD, mėnesio planai - 1 USD ir daugiau
Originalus straipsnis rodomas žemiau.
„Firebase“ yra puiki paslauga kiekvienam mažam kūrėjui, kuriam reikia turėti internetinę paslaugą. Jį teikia „Google“, o įmonė stengiasi padėti kūrėjams jį naudoti savo programose mobiliesiems. Tai galite pamatyti paprasčiausiai žiūrėdami bet kurį „Google“ įvesties / išvesties sesijos vaizdo įrašą apie „Firebase“, kurį kūrėjai iš tikrųjų džiugina, kai paminėta paslauga.
Akivaizdu, kad kai kurie iš šių kūrėjų sukrėtė konfigūruodami duomenų bazę, kurią jie gali naudoti jūsų duomenims saugoti. Nuskaityę 2,7 milijono programų, „Appthority“ saugos tyrėjai sako, kad daugiau nei 113 GB duomenų galima rasti per daugiau nei 2200 „Firebase“ duomenų bazių tiems, kas žino tinkamą URL. Iš viso yra atskleista per 100 milijonų asmeninių įrašų.
Tyrėjai rado 28 500 programų, kurios naudojo „Firebase“, kad sujungtų ir saugotų vartotojo duomenis, iš kurių 3046 saugojo jų duomenys neteisingai sukonfigūruotoje „Firebase“ duomenų bazėje, kurią buvo galima perskaityti naudojant JSON URL schema. Dauguma programų, naudojančių „Firebase“, yra skirtos „Android“, tačiau 600 programų, kuriose rodomi duomenys, yra „iOS“. Problema yra platforminė-agnostinė, o nagrinėjamos programos nėra čia kaltos. Tai tiesiog duomenų bazės konfigūracija programinėje įrangoje.
Nutekintoje informacijoje yra:
- 2,6 mln. Paprasto teksto slaptažodžių ir vartotojo ID.
- 4 milijonai + PHI (saugomos sveikatos informacijos) įrašai.
- 25 milijonai GPS įrašų.
- 50 tūkst. Finansinių, įskaitant Bitcoin operacijas.
- 4,5 milijono „Facebook“, „LinkedIn“, įmonių duomenų saugyklos vartotojo žetonų.
„Appthority“ informavo „Google“ apie duomenų bazės konfigūraciją ir pateikė paveiktų programų sąrašą prieš paskelbiant šią ataskaitą. Mes kreipėmės norėdami sužinoti, ar „Google“ turi ką nors, ką norėtų pridėti, ir atnaujins, kai tik gaus.
„Appthority“ nėra svetima rasti blogai sukonfigūruotas internetines duomenų bazes. Anksčiau bendrovė rado „kritinių“ vartotojų duomenų, kuriuos atskleidė tokios paslaugos kaip „MongoDB“, „CouchDB“, „Redis“, „MySQL“ ir „Twilio“.
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technologijų naujienas, analizę ir naujienas, su pažįstamais bendraautoriais ir specialiais svečiais.
- Prenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
„Fuchsia“ yra „Google“ ateities programinė įranga. Štai kur mes esame šiandien ir kaip viskas gali pasirodyti.
„Horizon Forbidden West“ seka Aloy, kai ji tyrinėja vakarus į buvusią JAV. Šis naujasis partizanų žaidimų pavadinimas rodo tik tai, ką sugeba PS5 aparatūra. Čia yra viskas, ką reikia žinoti.
Geriausias „Huawei“ išmanusis laikrodis veikia su savo „HarmonyOS“ programine įranga, tačiau įkvepia „Apple“ ir „Google“ laikrodžių visose tinkamose vietose.
Dabartinis „Google“ pavyzdinis pavyzdys yra didelė stiklinė naujovių ir galios plokštė, tačiau tai nedaug reikš, jei ją numesite ir sugadinsite ekraną. Apsaugokite savo investicijas naudodami „Pixel 4 XL“ dėklą.
Džeris Hildenbrandas
Džeris yra mėgėjas medžio apdirbėjas ir kovoja su šešėlių medžių mechaniku. Nėra nieko, ko jis negalėtų išardyti, tačiau daugelio dalykų jis negali surinkti iš naujo. Rasite jį rašantį ir garsiai išsakomą savo nuomonę „Android Central“ ir retkarčiais „Twitter“ tinkle.