谷歌旗下Firebase平臺被曝存在嚴重配置錯誤隱患
責編:gltian |2024-03-22 11:08:13日前,據安全網站SC Media報道,Google 旗下的Firebase平臺被安全研究人員測試發現存在超過900個配置錯誤,使得近 1900 萬個密碼以明文方式存儲,這可能會導致近1.25億用戶記錄存在泄露隱患。
據了解,Firebase是Google公司在2014年收購的一家實時后端數據庫公司,旨在幫助開發者快速創建Web 端和移動端應用。根據其官方數據披露,目前Firebase已經被超過150萬個應用系統所采用。
研究人員共掃描了 500 多萬個相關應用域名,發現其中有 916 個網站(應用)并沒有啟用安全規則,或者安全規則設置錯誤,這導致了訪問者可以輕松讀取訪問數據庫信息。這是一個非常嚴重的安全隱患,可能會導致超過1.25億條用戶信息被泄露,包括電子郵件、姓名、密碼、電話號碼以及包含銀行詳細信息的賬單等敏感信息。更嚴重的是,在本次測試所發現的20185831個密碼中,有98%都是以明文方式存儲的,沒有采取任何的加密措施,可能導致更深層次的系統被攻擊。
Keeper Security公司的安全架構副總裁Patrick Tiquet表示,如今針對云基礎設施的成功攻擊大多都源于配置錯誤。雖然Firebase不斷升級和改進其安全措施,但本次事件顯示其仍未能正確實施或監控相關組件。Tiquet提醒組織的安全管理人員,要始終確保使用安全的密鑰管理解決方案,并持續進行必要的補丁和更新。此外,企業需要獲得一套有效的工具來評估云上系統配置的正確性,從而提高云系統的安全性。
參考鏈接:
https://www.scmagazine.com/news/google-firebase-may-have-exposed-125m-records-from-misconfigurations
來源:安全牛