Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase

Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia:

Firebase is one of the most popular backend database technologies for mobile apps but does not secure user data by default, provide third-party encryption tools, or alert developers to insecure data and potential vulnerabilities.

Z aplikacji mobilnych, które korzystały z bazy Firebase, około 10% okazało się podatnych (publicznie dostępna baza).

Cały „trick” to dostęp do zasobu .json w odpowiedniej bazie (domena firebaseio.com), np. tutaj: https://publicdata-weather.firebaseio.com/.json choć jak sama nazwa wskazuje – w tym przypadku dane mają być publiczne :)

W każdym razie, w całym badaniu uzyskano dostęp do około 2.6 miliona haseł, 4 milionów rekordów z danymi medycznymi czy 50 tysięcy danych z informacjami finansowymi.

Przypominam też przy okazji o podobnej historii z publicznie dostępnymi instancjami Elasticsearch czy MongoDB.

–ms