Pembaruan 2 Juli 2018:
Google telah menanggapi pertanyaan kami dan sedikit diskusi dengan anggota tim Google Cloud telah menyelesaikan beberapa pertanyaan seputar laporan ini.
Basis data Firebase aman secara default saat dibuat dan semua kasus ini adalah contoh di mana pengembang tidak mengikuti praktik terbaik dalam satu bentuk atau lainnya. Google menerbitkan panduan lengkap tentang pengamanan basis data waktu nyata dengan Firebase. Selain itu, konsol admin Firebase menampilkan peringatan yang tidak dapat salah lagi ketika sebuah basis data telah menghapus perlindungan default normal dan dikonfigurasikan untuk memungkinkan akses publik.
Google juga memberi tahu saya bahwa email dikirim ke semua proyek tidak aman dengan petunjuk lengkap tentang cara mengaktifkan kembali keamanan basis data pada Desember 2017. Jelas setelah berbicara dengan anggota jika tim Google Cloud bahwa Firebase aman seperti yang kita semua pikirkan sebelumnya dulu dan bahwa masalah seperti ini dikaitkan dengan kesalahan pengembang.
Artikel asli muncul di bawah ini.
Firebase adalah layanan hebat untuk pengembang kecil mana pun yang perlu memiliki layanan online. Ini didukung oleh Google dan perusahaan keluar dari jalannya untuk membantu pengembang menggunakannya dalam aplikasi mobile mereka. Anda dapat melihat hanya dengan menonton video sesi Google I / O tentang Firebase yang benar-benar didukung oleh pengembang ketika layanan disebutkan.
Rupanya, beberapa pengembang itu mengalami kesulitan ketika mengkonfigurasi database yang mungkin mereka gunakan untuk menyimpan data Anda. Setelah memindai 2, 7 juta aplikasi, peneliti keamanan di Appthority mengatakan lebih dari 113GB data tersedia melalui lebih dari 2.200 basis data Firebase kepada siapa saja yang mengetahui URL yang tepat. Secara total, ada lebih dari 100 juta catatan pribadi yang terungkap.
Para peneliti menemukan 28.500 aplikasi yang menggunakan Firebase untuk menghubungkan dan menyimpan detail pengguna, di mana 3.046 menyimpan data mereka di dalam basis data Firebase yang tidak terkonfigurasi yang dapat dibaca melalui penggunaan skema URL JSON. Mayoritas aplikasi yang menggunakan Firebase adalah untuk Android, tetapi 600 aplikasi yang mengekspos data adalah untuk iOS. Masalahnya adalah platform-agnostik, dan aplikasi yang dimaksud bukan penyebabnya di sini. Ini hanya konfigurasi database di backend.
Informasi yang bocor mengandung:
- 2, 6 juta kata sandi dan ID pengguna plaintext.
- 4 juta + catatan PHI (Informasi Kesehatan yang Dilindungi).
- 25 juta catatan GPS.
- 50 ribu finansial termasuk transaksi Bitcoin.
- 4, 5 juta token pengguna Facebook, LinkedIn, toko data perusahaan.
Appthority memberi tahu Google tentang konfigurasi basis data dan memberikan daftar aplikasi yang terpengaruh sebelum laporan ini diterbitkan. Kami telah menjangkau untuk melihat apakah Google memiliki sesuatu yang ingin mereka tambahkan dan akan perbarui setelah diterima.
Appthority tidak asing dengan menemukan database online yang tidak terkonfigurasi dengan baik. Sebelumnya perusahaan telah menemukan data pengguna "kritis" yang diekspos melalui layanan seperti MongoDB, CouchDB, Redis, MySQL, dan Twilio.
