Mise à jour du 2 juillet 2018:
Google a répondu à notre demande et quelques discussions avec un membre de l'équipe Google Cloud ont permis de clarifier certaines des questions relatives à ce rapport.
Les bases de données Firebase sont sécurisées par défaut lors de leur création et tous ces cas sont des cas où un développeur n'a pas suivi les meilleures pratiques sous une forme ou une autre. Google publie un guide complet sur la sécurisation des bases de données en temps réel avec Firebase. En outre, la console d'administration de Firebase affiche un avertissement évident lorsque la protection normale par défaut d'une base de données est supprimée et est configurée pour autoriser l'accès public.
Google me dit également que des courriels ont été envoyés à tous les projets non sécurisés avec des instructions complètes sur la réactivation de la sécurité des bases de données en décembre 2017. Il est clair après avoir parlé à un membre si l'équipe Google Cloud a déclaré que Firebase était aussi sûr que nous le pensions tous. était et que les problèmes comme celui-ci sont attribués à des erreurs de développement.
L'article original apparaît ci-dessous.
Firebase est un excellent service pour tout petit développeur qui a besoin d’un service en ligne. Il est alimenté par Google et la société fait tout son possible pour aider les développeurs à l'utiliser dans leurs applications mobiles. Vous pouvez voir, en regardant simplement une vidéo de session Google I / O sur Firebase, que les développeurs encouragent réellement lorsque le service est mentionné.
Apparemment, certains de ces développeurs ont eu du mal à configurer la base de données qu'ils utilisent éventuellement pour stocker vos données. Après avoir numérisé 2, 7 millions d'applications, les chercheurs en sécurité d'Appthority affirment que plus de 113 Go de données sont disponibles via plus de 2 200 bases de données Firebase pour toute personne connaissant la bonne URL. Au total, plus de 100 millions de documents personnels sont exposés.
Les chercheurs ont découvert 28 500 applications utilisant Firebase pour se connecter et stocker les informations des utilisateurs, dont 3 046 stockaient leurs données dans une base de données Firebase mal configurée lisible à l'aide d'un schéma d'URL JSON. La majorité des applications qui utilisent Firebase sont pour Android, mais 600 applications qui exposent des données sont pour iOS. Le problème est indépendant de la plate-forme, et les applications en question ne sont pas le coupable ici. C'est simplement la configuration de la base de données sur le backend.
Les informations divulguées contiennent:
- 2, 6 millions de mots de passe en clair et d’ID utilisateurs.
- Plus de 4 millions d'enregistrements PHI (Protected Health Information).
- 25 millions d'enregistrements GPS.
- 50 mille financiers, y compris les transactions Bitcoin.
- 4, 5 millions de jetons d’utilisateur Facebook, LinkedIn et de magasin de données d’entreprise.
Appthority a informé Google de la configuration de la base de données et a fourni la liste des applications concernées avant la publication de ce rapport. Nous avons cherché à savoir si Google souhaite ajouter quelque chose et mettra à jour une fois qu'il est reçu.
Appthority n'est pas étranger à la recherche de bases de données en ligne mal configurées. Auparavant, la société avait trouvé des données utilisateur "critiques" exposées via des services tels que MongoDB, CouchDB, Redis, MySQL et Twilio.