עדכון 2 ביולי 2018:
גוגל ענתה לבירורנו וקצת דיונים עם חבר בצוות Google Cloud הבהירו כמה מהשאלות סביב דוח זה.
מסדי נתונים של Firebase מאובטחים כברירת מחדל בעת היווצרותם, וכל המקרים הללו הם מקרים שבהם מפתח לא פעל לפי שיטות העבודה המומלצות בצורה זו או אחרת. גוגל מפרסמת מדריך מלא בנושא אבטחת מסדי נתונים בזמן אמת באמצעות Firebase. בנוסף, מסוף הניהול של Firebase מציג אזהרה שלא ניתן לטעות בה כאשר מסדי נתונים הוסרו הגנות ברירת המחדל הרגילות והיא מוגדרת כך שהיא מאפשרת גישה ציבורית.
גוגל גם מספרת לי שהודעות דוא"ל נשלחו לכל פרויקטים חסרי ביטחון עם הנחיות מלאות להפעלת אבטחת מסד הנתונים בדצמבר 2017. ברור לאחר שדיבר עם חבר אם צוות Google Cloud ש- Firebase הוא בטוח כמו שכולנו חשבנו עליו היה ושבעיות כמו אלה מיוחסות לטעויות מפתחים.
המאמר המקורי מופיע למטה.
Firebase הוא שירות מעולה לכל מפתח קטן שצריך לרשותו שירות מקוון. זה מופעל על ידי גוגל והחברה יוצאת מגדרה לעזור למפתחים להשתמש בו באפליקציות הניידות שלהם. אתה יכול לראות פשוט על ידי צפייה בכל סרטון הפעלה / פלט של I / O של גוגל אודות Firebase שמפתחים מעודדים בפועל כאשר השירות מוזכר.
ככל הנראה, חלק מאותם מפתחים פגעו בקשרי תצורה של מסד הנתונים בו הם משתמשים כדי לאחסן את הנתונים שלך. לאחר סריקת 2.7 מיליון אפליקציות, חוקרי אבטחה ב- Appthority טוענים כי יותר מ- 113 ג'יגה-בתים של נתונים זמינים דרך למעלה מ -2, 200 מסדי נתונים של Firebase לכל מי שיודע את כתובת האתר הנכונה. בסך הכל נחשפים למעלה ממאה מיליון רשומות אישיות.
החוקרים מצאו 28, 500 אפליקציות שהשתמשו ב- Firebase כדי לחבר ולאחסן פרטי משתמשים, מתוכם 3, 046 שמרו את הנתונים שלהם בתוך מסד נתונים מוגדר לא נכון של Firebase שהיה ניתן לקריאה באמצעות תכנית URL של JSON. רוב האפליקציות שמשתמשות ב- Firebase מיועדות לאנדרואיד, אך 600 אפליקציות שחשפו נתונים מיועדות ל- iOS. הבעיה היא פלטפורמה-אגנוסטית, והאפליקציות המדוברות אינן האשם כאן. זה פשוט תצורת מסד הנתונים בנדנד.
המידע שהודלף מכיל:
- 2.6 מיליון סיסמאות רגילות ומזהי משתמש.
- 4 מיליון רשומות PHI (מוגן מידע על בריאות).
- 25 מיליון רשומות GPS.
- 50 אלף כספים כולל עסקאות ביטקוין.
- 4.5 מיליון סימני משתמש בחנות נתונים של פייסבוק, לינקדאין.
Appthority הודיעה ל- Google על תצורת בסיס הנתונים וסיפקה את רשימת היישומים המושפעים לפני פרסום הדוח. הושטנו ידיים אם לגוגל יש משהו שהם היו רוצים להוסיף ויתעדכן ברגע שהוא יתקבל.
אפורטיביור אינו זר למצוא מאגרי מידע מקוונים שהוגדרו בצורה לא טובה. בעבר החברה מצאה נתוני משתמשים "קריטיים" שנחשפו באמצעות שירותים כמו MongoDB, CouchDB, Redis, MySQL ו- Twilio.
![Ticwatch לבוש אנדרואיד פרו [סקירה]: הכלאה טובה משני העולמות](https://img.androidermagazine.com/img/wearables/943/ticwatch-pro-review-best-both-worlds-hybrid.jpg "Ticwatch לבוש אנדרואיד פרו [סקירה]: הכלאה טובה משני העולמות")