Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ข่าว
ข่าว

แอพ android และ ios หลายพันเครื่องกำลังรั่วข้อมูลของคุณผ่านทางแบ็กเอนด์ฐานข้อมูล (อัปเดต)

แอพ android และ ios หลายพันเครื่องกำลังรั่วข้อมูลของคุณผ่านทางแบ็กเอนด์ฐานข้อมูล (อัปเดต)
Anonim

อัปเดต 2 กรกฎาคม 2018:

Google ได้ตอบคำถามของเราและได้มีการพูดคุยกับสมาชิกของทีม Google Cloud ซักถามคำถามบางส่วนเกี่ยวกับรายงานนี้

ฐานข้อมูล Firebase มีความปลอดภัย โดยค่าเริ่มต้น เมื่อมีการสร้างและทุกกรณีเหล่านี้เป็นอินสแตนซ์ที่นักพัฒนาซอฟต์แวร์ไม่ได้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในรูปแบบเดียวหรืออื่น Google เผยแพร่คู่มือฉบับเต็มเกี่ยวกับการรักษาความปลอดภัยฐานข้อมูลเรียลไทม์ด้วย Firebase นอกจากนี้คอนโซลผู้ดูแลระบบ Firebase จะแสดงคำเตือนที่แน่ชัดเมื่อฐานข้อมูลมีการป้องกันเริ่มต้นตามปกติออกและได้รับการกำหนดค่าให้อนุญาตการเข้าถึงสาธารณะ

Google ยังบอกฉันว่าอีเมลถูกส่งไปยังโครงการที่ไม่ปลอดภัยทั้งหมดพร้อมคำแนะนำที่สมบูรณ์เกี่ยวกับวิธีการเปลี่ยนความปลอดภัยของฐานข้อมูลกลับมาในเดือนธันวาคม 2560 ชัดเจนหลังจากพูดคุยกับสมาชิกหากทีม Google Cloud ที่ Firebase ปลอดภัยเท่าที่เราทุกคนคิด เคยเป็นและปัญหาเช่นนี้มีสาเหตุมาจากความผิดพลาดของนักพัฒนา

บทความต้นฉบับปรากฏด้านล่าง

Firebase เป็นบริการที่ยอดเยี่ยมสำหรับนักพัฒนาขนาดเล็กที่ต้องการมีบริการออนไลน์เมื่อต้องการ มันขับเคลื่อนโดย Google และ บริษัท ออกไปเพื่อช่วยเหลือนักพัฒนาซอฟต์แวร์ในแอพมือถือของพวกเขา คุณสามารถดูได้เพียงแค่ดูวิดีโอเซสชัน I / O ของ Google เกี่ยวกับ Firebase ที่นักพัฒนาเชียร์จริง ๆ เมื่อมีการกล่าวถึงบริการ

เห็นได้ชัดว่านักพัฒนาเหล่านั้นบางคนประสบปัญหาในการกำหนดค่าฐานข้อมูลที่พวกเขาอาจใช้เพื่อจัดเก็บข้อมูลของคุณ หลังจากการสแกน 2.7 ล้านแอพนักวิจัยด้านความปลอดภัยของ Appthority กล่าวว่ามีข้อมูลมากกว่า 113GB ผ่านฐานข้อมูล Firebase กว่า 2, 200 แห่งให้กับทุกคนที่รู้ URL ที่ถูกต้อง รวมแล้วมีบันทึกส่วนตัวมากกว่า 100 ล้านบันทึก

นักวิจัยพบแอป 28, 500 แอปที่ใช้ Firebase เพื่อเชื่อมต่อและจัดเก็บรายละเอียดผู้ใช้ซึ่งมี 3, 046 เก็บข้อมูลไว้ในฐานข้อมูล Firebase ที่กำหนดค่าผิดพลาดซึ่งสามารถอ่านได้ผ่านการใช้ชุดรูปแบบ URL JSON แอพส่วนใหญ่ที่ใช้ Firebase เป็นแอนดรอยด์ แต่ 600 แอพที่เปิดเผยข้อมูลสำหรับ iOS ปัญหาคือผู้ไม่เชื่อเรื่องพระเจ้าแพลตฟอร์มและแอพที่เป็นปัญหาไม่ใช่ผู้ร้ายที่นี่ มันเป็นเพียงการกำหนดค่าฐานข้อมูลในแบ็กเอนด์

ข้อมูลที่รั่วไหลออกมาประกอบด้วย:

  • รหัสผ่านแบบธรรมดาจำนวน 2.6 ล้านรหัสและรหัสผู้ใช้
  • บันทึกข้อมูลสุขภาพที่ได้รับการคุ้มครองจำนวน 4 ล้าน + PHI
  • บันทึก GPS 25 ล้านรายการ
  • 50, 000 การเงินรวมถึงธุรกรรม Bitcoin
  • 4.5 ล้าน Facebook, LinkedIn, โทเค็นผู้ใช้เก็บข้อมูลองค์กร

Appthority แจ้งให้ Google ทราบเกี่ยวกับการกำหนดค่าฐานข้อมูลและจัดทำรายการแอปที่ได้รับผลกระทบก่อนที่จะมีการเผยแพร่รายงานนี้ เราเข้าถึงเพื่อดูว่า Google มีอะไรที่พวกเขาต้องการเพิ่มและจะอัปเดตเมื่อได้รับแล้วหรือไม่

Appthority ไม่ใช่คนแปลกหน้าในการค้นหาฐานข้อมูลออนไลน์ที่มีการกำหนดค่าไม่ดี ก่อนหน้านี้ บริษัท ได้พบข้อมูลผู้ใช้ที่ "สำคัญ" เปิดเผยผ่านบริการต่างๆเช่น MongoDB, CouchDB, Redis, MySQL และ Twilio

ข่าว

ตัวเลือกของบรรณาธิการ