Atjaunināt 2018. gada 2. jūliju:
Google ir atbildējis uz mūsu pieprasījumu, un nedaudz diskusiju ar Google Cloud komandas locekli ir noskaidrojuši dažus no jautājumiem, kas saistīti ar šo ziņojumu.
Firebase datu bāzes ir drošas pēc noklusējuma kad tie tiek izveidoti, un visi šie gadījumi ir gadījumi, kad izstrādātājs nav ievērojis paraugpraksi vienā vai otrā formā. Google publicē pilns ceļvedis par reāllaika datu bāzu drošību, izmantojot Firebase. Turklāt, Firebase administratora konsolē tiek parādīts nepārprotams brīdinājums, kad datu bāzē ir noņemti parastie noklusējuma aizsargi un tā ir konfigurēta, lai atļautu publisku piekļuvi.
Google arī man saka, ka visiem nedrošajiem projektiem tika nosūtīti e-pasta ziņojumi ar pilnīgiem norādījumiem par to, kā 2017. gada decembrī atkal ieslēgt datu bāzes drošību. Pēc sarunas ar biedru ir skaidrs, vai Google Cloud komanda apgalvo, ka Firebase ir tikpat droša, kā mēs visi domājām, un ka šādi jautājumi ir saistīti ar izstrādātāja kļūdām.
VPN piedāvājumi: mūža licence par 16 ASV dolāriem, ikmēneša plāni par 1 ASV dolāru un vairāk
Sākotnējais raksts ir parādīts zemāk.
Firebase ir lielisks pakalpojums ikvienam mazam izstrādātājam, kura rīcībā ir jābūt tiešsaistes pakalpojumam. To nodrošina Google, un uzņēmums cenšas palīdzēt izstrādātājiem to izmantot savās mobilajās lietotnēs. To var redzēt, vienkārši noskatoties jebkuru Google I / O sesijas video par Firebase, kuru izstrādātāji patiesībā uzmundrina, kad tiek pieminēts pakalpojums.
Acīmredzot daži no šiem izstrādātājiem ir uzkrājušies, kad jākonfigurē datu bāze, kuru viņi var izmantot jūsu datu glabāšanai. Pēc 2,7 miljonu lietotņu skenēšanas Appthority drošības pētnieki apgalvo, ka vairāk nekā 2200 Firebase datu bāzēs ir pieejami vairāk nekā 113 GB datu ikvienam, kurš zina pareizo URL. Kopumā ir atklāti vairāk nekā 100 miljoni personisko ierakstu.
Pētnieki atrada 28 500 lietotnes, kas izmantoja Firebase, lai izveidotu savienojumu un saglabātu lietotāja datus, no kuriem 3046 tika saglabāti viņu dati nepareizi konfigurētā Firebase datu bāzē, kuru varēja nolasīt, izmantojot JSON URL shēma. Lielākā daļa lietotņu, kas izmanto Firebase, ir paredzētas Android, bet 600 lietotnes, kurās tiek parādīti dati, ir paredzētas iOS. Problēma ir platformas agnostiska, un attiecīgās lietotnes šeit nav vainīgas. Tā vienkārši ir datubāzes konfigurācija aizmugurē.
Nopludinātā informācija satur:
- 2,6 miljoni vienkārša teksta paroļu un lietotāju ID.
- 4 miljoni + PHI (aizsargāta veselības informācija) ieraksti.
- 25 miljoni GPS ierakstu.
- 50 tūkstoši finanšu, ieskaitot Bitcoin darījumus.
- 4,5 miljoni Facebook, LinkedIn, korporatīvo datu veikala lietotāju marķieri.
Pirms šī ziņojuma publicēšanas Appthority informēja Google par datu bāzes konfigurāciju un sniedza ietekmēto lietotņu sarakstu. Mēs esam sazinājušies, lai uzzinātu, vai Google ir kaut kas, ko viņi vēlētos pievienot, un pēc saņemšanas to atjauninās.
Appthority nav svešs, ja atrodat slikti konfigurētas tiešsaistes datu bāzes. Iepriekš uzņēmums ir atradis "kritiskus" lietotāja datus, kas pakļauti tādiem pakalpojumiem kā MongoDB, CouchDB, Redis, MySQL un Twilio.
Vai esat klausījies šīs nedēļas Android Central Podcast?
Katru nedēļu Android Central Podcast sniedz jums jaunākos tehnoloģiju jaunumus, analīzi un jaunākās ziņas ar pazīstamiem līdzzinātājiem un īpašiem viesiem.
- Abonējiet Pocket Casts: Audio
- Abonēt Spotify: Audio
- Abonējiet iTunes: Audio
Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.
Fuksija ir Google nākotnes programmatūras platforma. Lūk, kur mēs šodien atrodamies un kā viss varētu nospēlēt.
Horizon Forbidden West seko Alojai, kad viņa pēta uz rietumiem bijušajā ASV. Šis jaunais partizānu spēļu nosaukums parāda tikai to, uz ko spēj PS5 aparatūra. Šeit ir viss, kas jums jāzina.
Huawei labākais viedpulkstenis pagaidām darbojas ar savu HarmonyOS programmatūru, taču iedvesmo Apple un Google pulksteņus visās nepieciešamajās vietās.
Google pašreizējais flagmanis ir liela inovāciju un spēka stikla plāksne, taču tas nenozīmēs daudz, ja to nometat un sadragājat ekrānu. Aizsargājiet savus ieguldījumus ar Pixel 4 XL korpusu.
Džerijs Hildenbrands
Džerijs ir amatieru amatieris un ēnu koku mehāniķis. Nav nekā tāda, ko viņš nevarētu izjaukt, bet daudzas lietas viņš nevar no jauna salikt. Jūs atradīsit viņu rakstot un runājot skaļu viedokli vietnē Android Central un laiku pa laikam čivināt.