Üç araştırmacı, kişisel olarak tanımlanabilir bilgileri (PII) arayarak güvenlik açığı bulunan Firebase örneklerini bulmak için interneti taradı.
Firebase, veritabanlarını, bulut bilişimi ve uygulama geliştirmeyi barındırmaya yönelik bir platformdur. Google'a aittir ve geliştiricilerin uygulama oluşturmasına ve göndermesine yardımcı olmak için kurulmuştur.
Araştırmacıların keşfettiği şey korkutucuydu. Firebase örneklerini yanlış ayarlayan kuruluşlara ait 916 web sitesi buldular; bazılarında hiçbir güvenlik kuralı etkin değildi.
Araştırmacılardan biri BleepingComputer'a sitelerin çoğunda yazma özelliğinin de bulunduğunu (yani herkesin değiştirebileceğini) bunun kötü bir durum olduğunu ve bunlardan birinin bir banka olduğunu söyledi.
İki hafta süren internet taraması sırasında araştırmacılar, Google'ın Firebase platformuna bağlı beş milyondan fazla alanı taradı.
Açığa çıkan verilerin toplam miktarı çok büyük:
- İsimler: 84.221.169
- E-postalar: 106.266.766
- Telefon Numaraları: 33.559.863
- Şifreler: 20,185,831
- Fatura Bilgileri (Banka bilgileri, faturalar vb.): 27.487.924
Ve sanki bu yeterince kötü değilmiş gibi, bu şifrelerin 19.867.627'si düz metin olarak saklandı. Firebase'in, Firebase Authentication adı verilen, özellikle güvenli oturum açma işlemleri için tasarlanmış ve kayıtlardaki kullanıcı şifrelerini açığa çıkarmayan yerleşik bir uçtan uca kimlik çözümüne sahip olduğu göz önüne alındığında bu çok utanç verici.
Bu nedenle, bir Firebase veritabanı yöneticisinin, şifreleri düz metin olarak saklamak için kendi yolundan çekilmesi ve ekstra bir veritabanı alanı oluşturması gerekecektir.
Araştırmacılar, etkilenen tüm şirketleri toplam 842 e-posta göndererek uyardı. Site sahiplerinin yalnızca %1'i yanıt verdi, ancak yaklaşık dörtte biri yanlış yapılandırmayı düzeltti.
Bu durumda, araştırmacıların bu örneklerin çoğunu doğru şekilde yapılandırmayı başarmış olmalarını bir nimet olarak görebiliriz. Öte yandan geri kalanların güvensizlik içinde yaşaması da korkutucu.
Verilerinizin ne kadarının çevrimiçi ortamda açığa çıktığını öğrenmek istiyorsanız ücretsiz Dijital Ayak İzi taramamızı deneyebilirsiniz. Merak ettiğiniz e-posta adresini girin (en sık kullandığınız adresi göndermek en iyisidir), size ücretsiz bir rapor göndereceğiz.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruzsen
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.