错误配置 Firebase 数据库导致 3000 多应用数据泄露
错误配置 Firebase 数据库导致 3000 多应用数据泄露
移动应用安全提供商 Appthority 上周指出,由于配置不当,导致使用 Firebase 服务的 3,046 个移动应用暴露了计划用户信息,共计 113 GB,并且包括纯文本用户在内的超过 1 亿个可公开访问的数据。 帐号和密码以及 GPS 位置信息。
Firebase 是网络和移动应用程序的开发平台。 它提供了云消息传递,通知,数据库,分析功能以及许多后端 API。 它于 2014 年被谷歌收购,并受到众多Android开发者的欢迎。 也是最受欢迎的移动应用程序数据存储平台之一。
在查看超过 270 万移动应用程序后的 Appthority 中,发现 28,000 个移动应用程序将数据存储在 Firebase 的后端。 其中,3,046 个程序将 2,271 个数据错误地配置为 Firebase 数据库,同时允许第三方公开查看。 其中大多数是 Android 程序,占用了 2,446 个,另外有 600 个 iOS 程序。
所有泄露的程序数据量为 113GB,包含 260 万个明文密码和用户账号,400 万条聊天记录,2500 万个 GPS 位置信息以及 50,000 个金融交易信息。 Facebook / LinkedIn / Firebase 用户凭证为 450 万笔。
Appthority 指出,2,446 个 Android 程序在 Google Play 上的下载量超过 6.2 亿次。 它们分布在不同的类别中,从工具,生产力,健身,通信,财务和业务应用程序。 62% 的公司至少使用其中一项计划。
虽然这主要是因为开发者没有验证访问权限,以至于任何人都可以访问属于 Firebase 数据库的配置故障,但 Appthority 正在指向 Google,认为 Firebase 未在默认情况下保护好用户数据,而且还缺乏可以加密用户数据的第三方工具。