谷歌旗下Firebase平台被曝存在严重配置错误隐患
日前,据安全网站SC Media报道,Google 旗下的Firebase平台被安全研究人员测试发现存在超过900个配置错误,使得近 1900 万个密码以明文方式存储,这可能会导致近1.25亿用户记录存在泄露隐患。
据了解,Firebase是Google公司在2014年收购的一家实时后端数据库公司,旨在帮助开发者快速创建Web 端和移动端应用。根据其官方数据披露,目前Firebase已经被超过150万个应用系统所采用。
研究人员共扫描了 500 多万个相关应用域名,发现其中有 916 个网站(应用)并没有启用安全规则,或者安全规则设置错误,这导致了访问者可以轻松读取访问数据库信息。这是一个非常严重的安全隐患,可能会导致超过1.25亿条用户信息被泄露,包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单等敏感信息。更严重的是,在本次测试所发现的20185831个密码中,有98%都是以明文方式存储的,没有采取任何的加密措施,可能导致更深层次的系统被攻击。
Keeper Security公司的安全架构副总裁Patrick Tiquet表示,如今针对云基础设施的成功攻击大多都源于配置错误。虽然Firebase不断升级和改进其安全措施,但本次事件显示其仍未能正确实施或监控相关组件。Tiquet提醒组织的安全管理人员,要始终确保使用安全的密钥管理解决方案,并持续进行必要的补丁和更新。此外,企业需要获得一套有效的工具来评估云上系统配置的正确性,从而提高云系统的安全性。
参考链接:
https://www.scmagazine.com/news/google-firebase-may-have-exposed-125m-records-from-misconfigurations