2018年7月2日更新:
Googleはこの問い合わせに対応し、Google Cloudチームのメンバーと少し話し合って、このレポートに関するいくつかの質問を解決しました。
Firebaseデータベースは、作成時にデフォルトで安全であり、これらのケースはすべて、開発者が何らかの形でベストプラクティスに従わなかったインスタンスです。 Googleは、Firebaseを使用したリアルタイムデータベースのセキュリティ保護に関する完全なガイドを公開しています。 また、データベースの通常のデフォルト保護が削除され、パブリックアクセスを許可するように設定されている場合、Firebase管理コンソールには紛れもない警告が表示されます。
Googleはまた、2017年12月にデータベースセキュリティをオンにする方法についての完全な指示とともに、すべての安全でないプロジェクトにメールが送信されたことを教えてくれます。このような問題は開発者のミスに起因します。
元の記事は以下に表示されます。
Firebaseは、自由にオンラインサービスを利用する必要がある小規模な開発者にとって素晴らしいサービスです。 Googleを搭載しているため、開発者がモバイルアプリで使用できるように支援しています。 Firebaseに関するGoogle I / Oセッションのビデオを見るだけで、サービスが言及されたときに開発者が実際に応援していることがわかります。
どうやら、それらの開発者の一部は、データを保存するために使用しているデータベースの構成に関して、思わぬ障害に見舞われています。 270万のアプリをスキャンした後、Appthorityのセキュリティ研究者は、適切なURLを知っている人なら誰でも2, 200を超えるFirebaseデータベースを通じて113 GBを超えるデータを利用できると述べています。 合計で、1億を超える個人レコードが公開されています。
研究者は、Firebaseを使用してユーザーの詳細を接続および保存する28, 500個のアプリを見つけました。そのうち3, 046個は、JSON URLスキームを使用して読み取り可能な、誤って設定されたFirebaseデータベースにデータを保存しました。 Firebaseを使用するアプリの大部分はAndroid用ですが、データを公開する600個のアプリはiOS用です。 問題はプラットフォームに依存しないため、問題のアプリはここでの犯人ではありません。 それは単にバックエンドのデータベース設定です。
漏洩した情報には次のものが含まれます。
- 260万のプレーンテキストパスワードとユーザーID。
- 400万以上のPHI(保護された健康情報)レコード。
- 2500万件のGPSレコード。
- ビットコイン取引を含む5万の金融。
- 450万のFacebook、LinkedIn、企業データストアユーザートークン。
Appthorityは、データベースの構成についてGoogleに通知し、このレポートが公開される前に影響を受けるアプリのリストを提供しました。 Googleが追加したいものがあるかどうかを確認し、受け取ったら更新します。
適切に構成されていないオンラインデータベースを見つけるのは、Appthorityのことです。 以前、同社はMongoDB、CouchDB、Redis、MySQL、Twilioなどのサービスを通じて公開されている「重要な」ユーザーデータを発見しました。
