Atualização 2 de julho de 2018:
O Google respondeu à nossa pergunta e um pouco de discussão com um membro da equipe do Google Cloud esclareceu algumas das perguntas relacionadas a este relatório.
Os bancos de dados do Firebase são seguros por padrão quando são criados e todos esses casos são casos em que um desenvolvedor não segue as práticas recomendadas de uma forma ou de outra. O Google publica um guia completo sobre a proteção de bancos de dados em tempo real com o Firebase. Além disso, o console administrativo do Firebase exibe um aviso inconfundível quando um banco de dados teve as proteções padrão normais removidas e está configurado para permitir acesso público.
O Google também me diz que os e-mails foram enviados para todos os projetos inseguros com instruções completas sobre como ativar a segurança do banco de dados em dezembro de 2017. Depois de conversar com um membro, fica claro se a equipe do Google Cloud que o Firebase é tão segura quanto todos pensávamos. foi e que problemas como esse são atribuídos a erros do desenvolvedor.
O artigo original aparece abaixo.
O Firebase é um ótimo serviço para qualquer pequeno desenvolvedor que precise ter um serviço online à sua disposição. Ele é desenvolvido pelo Google e a empresa se esforça para ajudar os desenvolvedores a usá-lo em seus aplicativos móveis. Você pode assistir simplesmente assistindo a qualquer vídeo da sessão de E / S do Google sobre o Firebase que os desenvolvedores realmente aplaudem quando o serviço é mencionado.
Aparentemente, alguns desses desenvolvedores encontraram um problema quando se trata de configurar o banco de dados que eles podem estar usando para armazenar seus dados. Depois de digitalizar 2, 7 milhões de aplicativos, os pesquisadores de segurança da Appthority dizem que mais de 113 GB de dados estão disponíveis em mais de 2.200 bancos de dados do Firebase para quem sabe o URL certo. No total, existem mais de 100 milhões de registros pessoais expostos.
Os pesquisadores encontraram 28.500 aplicativos que usavam o Firebase para conectar e armazenar detalhes do usuário, dos quais 3.046 armazenavam seus dados em um banco de dados do Firebase configurado incorretamente que era legível através do uso de um esquema de URL JSON. A maioria dos aplicativos que usam o Firebase são para Android, mas 600 aplicativos que expõem dados são para iOS. O problema é independente da plataforma e os aplicativos em questão não são os culpados aqui. É simplesmente a configuração do banco de dados no back-end.
As informações vazadas contêm:
- 2, 6 milhões de senhas em texto sem formatação e IDs de usuário.
- 4 milhões + registros de PHI (Protected Health Information).
- 25 milhões de registros GPS.
- 50 mil financeiros, incluindo transações de Bitcoin.
- 4, 5 milhões no Facebook, LinkedIn, tokens corporativos de armazenamento de dados.
Appthority informou o Google sobre a configuração do banco de dados e forneceu a lista dos aplicativos afetados antes da publicação deste relatório. Entramos em contato para ver se o Google tem algo que eles gostariam de adicionar e atualizaremos assim que for recebido.
Appthority não é estranho para encontrar bancos de dados on-line mal configurados. Anteriormente, a empresa encontrou dados "críticos" do usuário expostos por meio de serviços como MongoDB, CouchDB, Redis, MySQL e Twilio.
