Actualizare 2 iulie 2018:
Google a răspuns la ancheta noastră și o discuție cu un membru al echipei Google Cloud a clarificat câteva dintre întrebările legate de acest raport.
Bazele de date Firebase sunt sigure în mod implicit când sunt create și toate aceste cazuri sunt cazuri în care un dezvoltator nu a urmat cele mai bune practici într-o formă sau alta. Google publică un ghid complet privind securizarea bazelor de date în timp real cu Firebase. În plus, consola de administrare Firebase afișează un avertisment inconfundabil atunci când unei baze de date i s-au eliminat protecțiile implicite normale și este configurată pentru a permite accesul public.
Google mi-a mai spus că au fost trimise e-mailuri către toate proiectele nesigure, cu instrucțiuni complete despre cum să reactivați securitatea bazei de date în decembrie 2017. Este clar după ce am vorbit cu un membru dacă echipa Google Cloud spune că Firebase este la fel de sigură pe cât am crezut-o cu toții și că problemele de acest gen sunt atribuite greșelilor dezvoltatorilor.
Oferte VPN: licență pe viață pentru 16 USD, planuri lunare la 1 USD și mai mult
Articolul original apare mai jos.
Firebase este un serviciu excelent pentru orice dezvoltator mic care trebuie să aibă la dispoziție un serviciu online. Este alimentat de Google și compania depune toate eforturile pentru a ajuta dezvoltatorii să o folosească în aplicațiile lor mobile. Puteți vedea vizionând pur și simplu orice videoclip de sesiune I / O Google despre Firebase pe care dezvoltatorii îl înveselesc atunci când este menționat serviciul.
Aparent, unii dintre acei dezvoltatori au dat peste cap atunci când vine vorba de configurarea bazei de date pe care ar putea să o folosească pentru a stoca datele dvs. După scanarea a 2,7 milioane de aplicații, cercetătorii de securitate de la Appthority spun că peste 113 GB de date sunt disponibile prin intermediul a peste 2.200 de baze de date Firebase pentru oricine cunoaște adresa URL corectă. În total, există peste 100 de milioane de înregistrări personale expuse.
Cercetătorii au găsit 28.500 de aplicații care foloseau Firebase pentru conectarea și stocarea detaliilor utilizatorului, dintre care 3.046 stocate datele lor într-o bază de date Firebase configurată greșit, care a putut fi citită prin utilizarea unei adrese URL JSON sistem. Majoritatea aplicațiilor care utilizează Firebase sunt pentru Android, dar 600 de aplicații care au expus date sunt pentru iOS. Problema este platformă-agnostică, iar aplicațiile în cauză nu sunt vinovate aici. Este pur și simplu configurația bazei de date de pe backend.
Informațiile divulgate conțin:
- 2,6 milioane de parole în format text și ID-uri de utilizator.
- 4 milioane + înregistrări PHI (Informații de sănătate protejate).
- 25 de milioane de înregistrări GPS.
- 50 mii financiare, inclusiv tranzacții Bitcoin.
- 4,5 milioane de jetoane de utilizator pentru magazinul de date, Facebook, LinkedIn.
Appthority a informat Google despre configurația bazei de date și a furnizat lista aplicațiilor afectate înainte de publicarea acestui raport. Am contactat pentru a vedea dacă Google are ceva ce ar dori să adauge și se va actualiza odată ce a fost primit.
Appthority nu este străină de găsirea unor baze de date online slab configurate. Anterior, compania a găsit date „critice” despre utilizatori expuse prin servicii precum MongoDB, CouchDB, Redis, MySQL și Twilio.
Ați ascultat Android Central Podcast din această săptămână?
În fiecare săptămână, Android Central Podcast vă aduce cele mai noi știri tehnologice, analize și recenzii la cald, cu co-gazde familiare și invitați speciali.
- Abonați-vă la Pocket Casts: Audio
- Abonați-vă în Spotify: Audio
- Abonați-vă în iTunes: Audio
Este posibil să câștigăm un comision pentru achiziții folosind linkurile noastre. Află mai multe.
Fuchsia este platforma software a viitorului Google. Iată unde suntem astăzi și cum s-ar putea întâmpla totul.
Horizon Forbidden West îl urmărește pe Aloy în timp ce explorează vestul către fostele S.U.A. Acest nou titlu de la Guerrilla Games arată doar de ce este capabil hardware-ul PS5. Iată tot ce trebuie să știi.
Cel mai bun ceas inteligent de la Huawei rulează încă pe propriul software HarmonyOS, dar se inspiră din ceasurile Apple și Google în toate locurile potrivite.
Actualul flagship al Google este o placă mare de sticlă de inovație și putere, dar nu va însemna prea mult dacă îl lăsați și spargeți ecranul. Protejați-vă investiția cu o carcasă Pixel 4 XL.
Jerry Hildenbrand
Jerry este un lucrător amator al lemnului și mecanic care se luptă cu umbra. Nu există nimic pe care să nu-l poată despărți, dar multe lucruri pe care nu le poate reasambla. Îl vei găsi scriind și rostindu-și părerea tare pe Android Central și ocazional pe Twitter.