Aggiornamento del 2 luglio 2018:
Google ha risposto alla nostra inchiesta e alcune discussioni con un membro del team di Google Cloud hanno chiarito alcune delle domande relative a questo rapporto.
I database Firebase sono sicuri per impostazione predefinita quando vengono creati e tutti questi casi sono casi in cui uno sviluppatore non ha seguito le migliori pratiche in un modo o nell'altro. Google pubblica una guida completa sulla protezione di database in tempo reale con Firebase. Inoltre, la console di amministrazione di Firebase visualizza un avviso inconfondibile quando a un database sono state rimosse le normali protezioni predefinite ed è configurato per consentire l'accesso pubblico.
Google mi informa anche che le e-mail sono state inviate a tutti i progetti non sicuri con indicazioni complete su come riattivare la sicurezza del database a dicembre 2017. Dopo aver parlato con un membro, è chiaro se Firebase è il team di Google Cloud sicuro come tutti noi pensavamo era e che problemi come questo sono attribuiti a errori degli sviluppatori.
L'articolo originale appare sotto.
Firebase è un ottimo servizio per qualsiasi piccolo sviluppatore che deve disporre di un servizio online. È alimentato da Google e l'azienda fa di tutto per aiutare gli sviluppatori a utilizzarlo nelle loro app mobili. Puoi vedere semplicemente guardando qualsiasi video della sessione I / O di Google su Firebase che gli sviluppatori applaudono quando viene menzionato il servizio.
Apparentemente, alcuni di quegli sviluppatori hanno avuto un problema con la configurazione del database che potrebbero utilizzare per archiviare i dati. Dopo aver scansionato 2, 7 milioni di app, i ricercatori sulla sicurezza di Appthority affermano che sono disponibili oltre 113 GB di dati attraverso oltre 2.200 database Firebase a chiunque conosca l'URL giusto. In totale, ci sono oltre 100 milioni di record personali esposti.
I ricercatori hanno trovato 28.500 app che hanno utilizzato Firebase per connettersi e archiviare i dettagli dell'utente, di cui 3.046 hanno archiviato i loro dati all'interno di un database Firebase configurato in modo errato che era leggibile mediante uno schema URL JSON. La maggior parte delle app che utilizzano Firebase sono per Android, ma 600 app che espongono dati sono per iOS. Il problema è indipendente dalla piattaforma e le app in questione non sono il colpevole qui. È semplicemente la configurazione del database sul back-end.
Le informazioni trapelate contengono:
- 2, 6 milioni di password in chiaro e ID utente.
- 4 milioni + record PHI (informazioni sanitarie protette).
- 25 milioni di record GPS.
- 50 mila finanziari comprese le transazioni Bitcoin.
- 4, 5 milioni di token utente di Facebook, LinkedIn, archivio dati aziendali.
Appthority ha informato Google della configurazione del database e ha fornito l'elenco delle app interessate prima della pubblicazione di questo rapporto. Abbiamo contattato per vedere se Google ha qualcosa che vorrebbero aggiungere e aggiorneremo una volta ricevuto.
Appthority non è estraneo a trovare database online scarsamente configurati. In precedenza la società aveva trovato dati utente "critici" esposti attraverso servizi come MongoDB, CouchDB, Redis, MySQL e Twilio.
![Perché usare una schermata di blocco sicura [sicurezza e privacy]](https://img.androidermagazine.com/img/news/572/why-use-secure-lockscreen-security.jpg "Perché usare una schermata di blocco sicura [sicurezza e privacy]")
