Die Logos von Firebase und Google
Die Logos von Firebase und Google
Bildquelle: bilalulker, Lizenz

Firebase falsch konfiguriert: Millionen von Passwörtern öffentlich sichtbar

Ein Albtraum für den Datenschutz. Eine fehlerhafte Konfiguration von Google-Firebase ermöglicht den Zugriff auf Millionen von Passwörtern.

Drei engagierte Cybersicherheitsforscher haben eine alarmierende Entdeckung gemacht, die das Vertrauen in die Sicherheit von Daten im Internet erschüttert. Über fehlerhaft konfigurierte Instanzen von Firebase, einer beliebten Datenbank-Hosting- und Anwendungsentwicklungsplattform von Google, wurden fast 19 Millionen Passwörter im Klartext öffentlich sichtbar.

Firebase falsch konfiguriert: Einfallstor für Datenlecks

Firebase, bekannt als Entwicklungsplattform für mobile und Web-Anwendungen, bietet eine Vielzahl von Tools und Infrastruktur für Entwickler. Jüngste Ereignisse haben jedoch eine dunkle Seite dieser Plattform offenbart. Denn sie lässt die Daten ihrer Nutzer unter Umständen ungeschützt.

Firebase falsch konfiguriert - drei Sicherheitsforscher entdecken riesiges Datenleck
Firebase falsch konfiguriert – drei Sicherheitsforscher entdecken riesiges Datenleck

Drei Sicherheitsforscher haben im Rahmen einer umfassenden Untersuchung mehr als fünf Millionen Domains gescannt. Dabei fanden sie 916 Websites von Unternehmen, die entweder unzureichende Sicherheitsvorkehrungen getroffen oder diese gänzlich vernachlässigt hatten.

Diese Nachlässigkeit ermöglichte den Zugriff auf sensible Nutzerdaten von mehr als 125 Millionen Menschen. Darunter E-Mail-Adressen, Namen, Telefonnummern und sogar Rechnungsdaten mit Bankverbindungen.

Unsichere Konfigurationen aufgedeckt

Unter der Leitung der Forscher Logykk, xyzeva/Eva und MrBruh begann die Suche nach persönlich identifizierbaren Informationen (PII), die über anfällige Firebase-Instanzen zugänglich waren. Insbesondere wurden Instanzen ohne Sicherheitsregeln oder mit fehlerhafter Konfiguration gefunden. Diese ermöglichten es Angreifern, sensible Daten zu lesen und sogar zu verändern.

Auch bei KFC gab es eine Sicherheitslücke

Ein Sicherheitsforscher namens MrBruh entdeckte bereits am 10. Januar 2024 eine bemerkenswerte Schwachstelle im System des KI-basierten Dienstes Chattr.ai. Durch diese Sicherheitslücke war es möglich, auf bekannte Websites von Fast-Food-Ketten zuzugreifen und neue Benutzerprofile mit vollen Zugriffsrechten anzulegen. Die Schwachstelle basierte auf einer fehlerhaften Konfiguration der Google Firebase Backend-Datenbank. Dies berichtet Bleeping Computer in einem aktuellen Artikel.

Die Folgen dieser mangelnden Sicherheitsvorkehrungen sind verheerend. Bei über fünf Millionen gescannten Domains wurden mehr als 900 Instanzen von Firebase mit eklatanten Sicherheitsmängeln gefunden. Diese ungeschützten Datenbanken beherbergten insgesamt 125 Millionen Datensätze mit sensiblen Informationen. Einige Organisationen hatten sogar Schreibzugriff auf die Datenbestände, sodass die Forscher Passwörter im Klartext auslesen konnten.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.