2 Temmuz 2018 Güncellemesi:
Google, sorumuza yanıt verdi ve Google Cloud ekibinin bir üyesiyle yaptığımız küçük bir tartışma, bu raporu çevreleyen birkaç soruyu netleştirdi.
Firebase veritabanları güvenlidir varsayılan olarak oluşturulduklarında ve tüm bu durumlar, bir geliştiricinin şu veya bu biçimde en iyi uygulamaları takip etmediği durumlardır. Google yayınlar Firebase ile gerçek zamanlı veritabanlarının güvenliğini sağlamaya yönelik eksiksiz bir kılavuz. Ayrıca, bir veritabanının normal varsayılan korumaları kaldırıldığında ve genel erişime izin verecek şekilde yapılandırıldığında, Firebase yönetici konsolu hatasız bir uyarı görüntüler.
Google ayrıca, tüm güvenli olmayan projelere, Aralık 2017'de veritabanı güvenliğinin nasıl yeniden etkinleştirileceğine dair eksiksiz talimatlar içeren e-postalar gönderildiğini söyledi. Bir üyeyle görüştükten sonra, Google Cloud ekibinin Firebase'in hepimizin düşündüğü kadar güvenli olup olmadığı ve bunun gibi sorunların geliştirici hatalarından kaynaklandığı açıktır.
VPN Fırsatları: 16 ABD Doları karşılığında ömür boyu lisans, 1 ABD Doları ve üzeri aylık planlar
Orijinal makale aşağıda görünmektedir.
Firebase emrinde bir çevrimiçi hizmete ihtiyaç duyan küçük geliştiriciler için harika bir hizmettir. Google tarafından desteklenmektedir ve şirket, geliştiricilerin onu mobil uygulamalarında kullanmalarına yardımcı olmak için elinden geleni yapmaktadır. Geliştiricilerin hizmetten bahsedildiğinde gerçekten neşelendirdiği Firebase ile ilgili herhangi bir Google I/O oturum videosunu izleyerek görebilirsiniz.
Görünüşe göre, bu geliştiricilerden bazıları, verilerinizi depolamak için kullanabilecekleri veritabanını yapılandırma konusunda bir engele çarptı. 2,7 milyon uygulamayı taradıktan sonra, Appthority'deki güvenlik araştırmacıları, doğru URL'yi bilen herkese 2.200'den fazla Firebase veritabanı aracılığıyla 113 GB'den fazla verinin sunulduğunu söylüyor. Toplamda, 100 milyondan fazla kişisel kayıt açığa çıktı.
Araştırmacılar, kullanıcı ayrıntılarını bağlamak ve depolamak için Firebase'i kullanan ve 3.046'sı depolanan 28.500 uygulama buldu. JSON URL'si kullanılarak okunabilen, yanlış yapılandırılmış bir Firebase veritabanı içindeki verileri şema. Firebase kullanan uygulamaların çoğu Android içindir, ancak verileri açığa çıkaran 600 uygulama iOS içindir. Sorun platformdan bağımsızdır ve söz konusu uygulamalar burada suçlu değildir. Bu sadece arka uçtaki veritabanı yapılandırmasıdır.
Sızdırılan bilgiler şunları içeriyor:
- 2,6 milyon düz metin şifresi ve kullanıcı kimliği.
- 4 milyondan fazla PHI (Korumalı Sağlık Bilgileri) kaydı.
- 25 milyon GPS kaydı.
- Bitcoin işlemleri dahil 50 bin finansal.
- 4,5 milyon Facebook, LinkedIn, kurumsal veri deposu kullanıcı belirteçleri.
Appthority, Google'a veritabanı yapılandırması hakkında bilgi verdi ve bu rapor yayınlanmadan önce etkilenen uygulamaların listesini sağladı. Google'ın eklemek istediği ve alındıktan sonra güncelleneceği bir şey olup olmadığını öğrenmek için sizinle iletişime geçtik.
Appthority, kötü yapılandırılmış çevrimiçi veritabanlarını bulmaya yabancı değil. Daha önce şirket, MongoDB, CouchDB, Redis, MySQL ve Twilio gibi hizmetler aracılığıyla açığa çıkan "kritik" kullanıcı verileri bulmuştu.
Bu haftanın Android Central Podcast'ini dinlediniz mi?
Her hafta, Android Central Podcast, tanıdık yardımcı sunucular ve özel konuklarla size en son teknoloji haberlerini, analizleri ve sıcak çekimleri sunar.
- Cep Yayınlarına abone olun: Ses
- Spotify'a abone olun: Ses
- iTunes'a abone olun: Ses
Bağlantılarımızı kullanarak satın alımlar için bir komisyon kazanabiliriz. Daha fazla bilgi edin.
Fuşya, Google'ın geleceğin yazılım platformudur. İşte bugün geldiğimiz nokta ve her şeyin nasıl olabileceği.
Horizon Forbidden West, batıyı eski ABD'ye doğru keşfederken Aloy'u takip ediyor. Guerrilla Games'in bu yeni oyunu, PS5 donanımının neler yapabileceğini gösteriyor. İşte bilmeniz gereken her şey.
Huawei'nin en iyi akıllı saati henüz kendi HarmonyOS yazılımında çalışıyor, ancak ilhamını doğru yerlerde Apple ve Google'ın saatlerinden alıyor.
Google'ın şu anki amiral gemisi, inovasyon ve gücün büyük bir cam levhasıdır, ancak düşürürseniz ve ekranı kırarsanız bunun pek bir anlamı olmayacak. Yatırımınızı Pixel 4 XL kılıfla koruyun.
Jerry Hildenbrand
Jerry amatör bir ahşap işçisi ve mücadele eden bir gölge ağacı tamircisidir. Parçalayamayacağı hiçbir şey yoktur, ancak yeniden bir araya getiremeyeceği birçok şey vardır. Android Central'da ve ara sıra yüksek sesle fikrini yazıp konuştuğunu göreceksiniz. Twitter'dan.