Firebase kopalnią danych

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55665
Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase
Badacze
Zaloguj lub Zarejestruj się aby zobaczyć!
przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania
Zaloguj lub Zarejestruj się aby zobaczyć!
. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia:
Firebase is one of the most popular backend database technologies for mobile apps but does not secure user data by default, provide third-party encryption tools, or alert developers to insecure data and potential vulnerabilities.
Z aplikacji mobilnych, które korzystały z bazy Firebase, około 10% okazało się podatnych (publicznie dostępna baza).

Cały „trick” to dostęp do zasobu .json w odpowiedniej bazie (domena firebaseio.com), np. tutaj:
Zaloguj lub Zarejestruj się aby zobaczyć!
choć jak sama nazwa wskazuje – w tym przypadku dane mają być publiczne :)

W każdym razie, w całym badaniu uzyskano dostęp do około 2.6 miliona haseł, 4 milionów rekordów z danymi medycznymi czy 50 tysięcy danych z informacjami finansowymi.

Przy okazji, podobne historie były z publicznie dostępnymi instancjami
Zaloguj lub Zarejestruj się aby zobaczyć!
czy
Zaloguj lub Zarejestruj się aby zobaczyć!
.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry