2018 년 7 월 2 일 업데이트:
Google은 문의에 응답했으며 Google Cloud 팀원과의 약간의 토론으로이 보고서와 관련된 몇 가지 질문을 해결했습니다.
Firebase 데이터베이스는 기본적 으로 생성 될 때 보안이 유지 되며 이러한 모든 사례는 개발자가 모범 사례를 따르지 않은 인스턴스입니다. Google은 Firebase를 통한 실시간 데이터베이스 보안에 대한 전체 가이드를 게시합니다. 또한 데이터베이스에 일반적인 기본 보호 기능이 제거되고 공개 액세스를 허용하도록 구성된 경우 Firebase 관리 콘솔에 확실한 경고가 표시됩니다.
Google은 2017 년 12 월에 데이터베이스 보안을 다시 설정하는 방법에 대한 완전한 지침과 함께 모든 안전하지 않은 프로젝트로 이메일을 보냈다고 말합니다. Google Cloud 팀이 Firebase가 우리가 생각한 것만 큼 안전하다고 Google Cloud 팀과 이야기를 나눈 후에는 분명합니다 그와 같은 문제는 개발자 실수로 인한 것입니다.
원본 기사가 아래에 나타납니다.
Firebase는 온라인 서비스가 필요한 소규모 개발자에게 훌륭한 서비스입니다. Google이 제공하는이 회사는 개발자가 모바일 앱에서이를 사용할 수 있도록 지원하지 않습니다. 서비스가 언급 될 때 개발자가 실제로 응원하는 Firebase에 대한 Google I / O 세션 동영상을 보면 간단히 볼 수 있습니다.
분명히 그 개발자 중 일부는 데이터를 저장하는 데 사용하는 데이터베이스를 구성 할 때 혼란에 빠졌습니다. Appthority의 보안 연구원은 270 만 개의 앱을 스캔 한 후 2, 200 개 이상의 Firebase 데이터베이스를 통해 올바른 URL을 아는 모든 사람에게 113GB 이상의 데이터를 사용할 수 있다고 말합니다. 총 1 억 건이 넘는 개인 기록이 노출되어 있습니다.
연구원들은 Firebase를 사용하여 사용자 세부 정보를 연결하고 저장하는 28, 500 개의 앱을 찾았으며 그 중 3, 046 개는 JSON URL 체계를 사용하여 읽을 수있는 잘못 구성된 Firebase 데이터베이스에 데이터를 저장했습니다. Firebase를 사용하는 대부분의 앱은 Android 용이지만 데이터를 노출 한 600 개의 앱은 iOS 용입니다. 문제는 플랫폼에 구애받지 않으며 문제의 앱은 여기서 범인이 아닙니다. 백엔드의 데이터베이스 구성 일뿐입니다.
유출 된 정보에는 다음이 포함됩니다.
- 260 만 개의 일반 텍스트 비밀번호 및 사용자 ID.
- 4 백만 건 이상의 PHI (Protected Health Information) 기록.
- 2500 만 GPS 기록.
- 비트 코인 거래를 포함한 5 만 건의 금융.
- 450 만 Facebook, LinkedIn, 회사 데이터 저장소 사용자 토큰.
Appthority는 Google에 데이터베이스 구성에 대해 알리고이 보고서가 게시되기 전에 영향을받는 앱 목록을 제공했습니다. Google에 추가하려는 항목이 있는지 확인한 후 수신하면 업데이트됩니다.
Appthority는 잘못 구성된 온라인 데이터베이스를 찾는 데 익숙하지 않습니다. 이전에는 회사에서 MongoDB, CouchDB, Redis, MySQL 및 Twilio와 같은 서비스를 통해 "중요한"사용자 데이터가 노출 된 것을 발견했습니다.
