Atualização em 2 de julho de 2018:
O Google respondeu à nossa pergunta e uma pequena discussão com um membro da equipe do Google Cloud esclareceu algumas das questões em torno deste relatório.
Os bancos de dados Firebase são seguros por padrão quando eles são criados e todos esses casos são instâncias em que um desenvolvedor não seguiu as melhores práticas de uma forma ou de outra. Google publica um guia completo sobre como proteger bancos de dados em tempo real com Firebase. Além disso, o console de administração do Firebase exibe um aviso inconfundível quando um banco de dados teve as proteções padrão normais removidas e está configurado para permitir acesso público.
O Google também me disse que foram enviados e-mails para todos os projetos inseguros com instruções completas sobre como reativar a segurança do banco de dados em dezembro de 2017. Depois de falar com um membro da equipe do Google Cloud, fica claro que o Firebase é tão seguro quanto pensávamos que era e que problemas como esse são atribuídos a erros do desenvolvedor.
Ofertas VPN: Licença vitalícia por US $ 16, planos mensais por US $ 1 e mais
O artigo original aparece abaixo.
Firebase é um ótimo serviço para qualquer pequeno desenvolvedor que precise ter um serviço online à sua disposição. Ele é desenvolvido pelo Google e a empresa faz de tudo para ajudar os desenvolvedores a usá-lo em seus aplicativos móveis. Você pode ver simplesmente assistindo a qualquer vídeo de sessão do Google I / O sobre o Firebase que os desenvolvedores realmente aplaudem quando o serviço é mencionado.
Aparentemente, alguns desses desenvolvedores encontraram um obstáculo quando se trata de configurar o banco de dados que podem estar usando para armazenar seus dados. Depois de escanear 2,7 milhões de aplicativos, os pesquisadores de segurança da Appthority dizem que mais de 113 GB de dados estão disponíveis por meio de mais de 2.200 bancos de dados Firebase para qualquer pessoa que conheça o URL correto. No total, existem mais de 100 milhões de registros pessoais expostos.
Os pesquisadores encontraram 28.500 aplicativos que usavam o Firebase para conectar e armazenar detalhes do usuário, dos quais 3.046 armazenados seus dados dentro de um banco de dados Firebase mal configurado que pode ser lido por meio do uso de um URL JSON esquema. A maioria dos aplicativos que usam o Firebase é para Android, mas 600 aplicativos que expõem dados são para iOS. O problema é independente de plataforma, e os aplicativos em questão não são os culpados aqui. É simplesmente a configuração do banco de dados no backend.
A informação vazada contém:
- 2,6 milhões de senhas de texto simples e IDs de usuário.
- Mais de 4 milhões de registros de PHI (informações de saúde protegidas).
- 25 milhões de registros GPS.
- 50 mil financeiras incluindo transações de Bitcoin.
- 4,5 milhões de tokens de usuário de armazenamento de dados corporativos do Facebook, LinkedIn.
Appthority informou ao Google sobre a configuração do banco de dados e forneceu a lista de aplicativos afetados antes da publicação deste relatório. Entramos em contato para ver se o Google tem algo que gostaria de adicionar e atualizar assim que for recebido.
Appthority não é estranho em encontrar bancos de dados online mal configurados. Anteriormente, a empresa encontrou dados de usuário "críticos" expostos por meio de serviços como MongoDB, CouchDB, Redis, MySQL e Twilio.
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Fuchsia é a plataforma de software do futuro do Google. É aqui que estamos hoje e como tudo pode se desenrolar.
Horizon Forbidden West segue Aloy enquanto ela explora o oeste nos antigos EUA. Este novo título da Guerrilla Games está mostrando do que o hardware PS5 é capaz. Aqui está tudo o que você precisa saber.
O melhor smartwatch da Huawei já funciona com seu próprio software HarmonyOS, mas se inspira nos relógios da Apple e do Google nos lugares certos.
O carro-chefe atual do Google é uma grande placa de vidro de inovação e poder, mas não vai significar muito se você deixá-la cair e quebrar a tela. Proteja seu investimento com uma capa para Pixel 4 XL.
Jerry Hildenbrand
Jerry é marceneiro amador e mecânico de árvores de sombra com dificuldades. Não há nada que ele não possa desmontar, mas muitas coisas que ele não pode remontar. Você o encontrará escrevendo e dando sua opinião em voz alta no Android Central e, ocasionalmente, no Twitter.