تحديث 2 يوليو 2018:
لقد ردت Google على استفساراتنا ، وأجرى القليل من النقاش مع أحد أعضاء فريق Google Cloud مسحًا لبعض الأسئلة المحيطة بهذا التقرير.
تكون قواعد بيانات Firebase آمنة بشكل افتراضي عند إنشائها وكل هذه الحالات هي حالات لم يتبع فيها المطور أفضل الممارسات في شكل أو آخر. تنشر Google دليلًا كاملاً حول تأمين قواعد البيانات الفعلية باستخدام Firebase. بالإضافة إلى ذلك ، تعرض وحدة تحكم مسؤول Firebase تحذيرًا لا لبس فيه عندما تمت إزالة الحماية الافتراضية العادية لقاعدة البيانات وتم تهيئتها للسماح بوصول الجمهور إليها.
تخبرني Google أيضًا أنه تم إرسال رسائل البريد الإلكتروني إلى جميع المشاريع غير الآمنة مع توجيهات كاملة حول كيفية إعادة أمان قاعدة البيانات في ديسمبر 2017. يتضح بعد التحدث مع أحد أعضاء فريق Google Cloud أن Firebase آمن تمامًا كما اعتقدنا جميعًا كان وأن مثل هذه القضايا تعزى إلى أخطاء المطور.
المقالة الأصلية تظهر أدناه.
Firebase هي خدمة رائعة لأي مطور صغير يحتاج إلى خدمة عبر الإنترنت تحت تصرفهم. يتم تشغيله بواسطة Google وتذهب الشركة إلى أبعد الحدود لمساعدة المطورين على استخدامه في تطبيقات الجوال الخاصة بهم. يمكنك أن ترى ببساطة عن طريق مشاهدة أي فيديو جلسة غوغل I / O حول Firebase الذي يهتف به المطورون بالفعل عند ذكر الخدمة.
يبدو أن بعض هؤلاء المطورين قد واجهوا مشكلة عندما يتعلق الأمر بتكوين قاعدة البيانات التي قد يستخدمونها لتخزين بياناتك. بعد مسح 2.7 مليون تطبيق ، يقول باحثو الأمن في Appthority أن أكثر من 113 جيجابايت من البيانات متاحة من خلال أكثر من 2200 قاعدة بيانات Firebase لأي شخص يعرف عنوان URL الصحيح. في المجموع ، هناك أكثر من 100 مليون سجل شخصي مكشوف.
عثر الباحثون على 28،500 تطبيقًا يستخدم Firebase لتوصيل بيانات المستخدم وتخزينها ، منها 3،046 قاموا بتخزين بياناتهم داخل قاعدة بيانات Firebase مضبوطة والتي كانت قابلة للقراءة من خلال استخدام نظام URL JSON. غالبية التطبيقات التي تستخدم Firebase مخصصة لنظام Android ، ولكن هناك 600 تطبيقًا تعرض البيانات لنظام التشغيل iOS. تكمن المشكلة في عدم معرفة النظام الأساسي ، والتطبيقات المعنية ليست السبب هنا. إنه ببساطة تكوين قاعدة البيانات على الواجهة الخلفية.
تحتوي المعلومات المتسربة على:
- 2.6 مليون كلمة مرور نصية ومعرفات المستخدم.
- 4 ملايين + PHI (المعلومات الصحية المحمية) السجلات.
- 25 مليون سجلات GPS.
- 50 ألف مالية بما في ذلك معاملات البيتكوين.
- 4.5 مليون فيسبوك ، ينكدين ، رموز مستخدمي متجر بيانات الشركات.
أبلغ Appthority Google بتكوين قاعدة البيانات وقدم قائمة بالتطبيقات المتأثرة قبل نشر هذا التقرير. لقد تواصلنا لمعرفة ما إذا كان لدى Google أي شيء يود إضافته وسيتم تحديثه بمجرد استلامه.
Appthority ليس غريباً على إيجاد قواعد بيانات على الإنترنت سيئة التهيئة. في السابق ، وجدت الشركة بيانات المستخدم "الحرجة" مكشوفة من خلال خدمات مثل MongoDB و CouchDB و Redis و MySQL و Twilio.