Firebase falsch konfiguriert: Millionen von Passwörtern öffentlich sichtbar

Kommentare
1

Die Logos von Firebase und Google
Die Logos von Firebase und Google2000×1385 395 KB

Kommentare zu folgendem Beitrag: Firebase falsch konfiguriert: Millionen von Passwörtern öffentlich sichtbar

2

Die Frage wäre ist Konfiguration die von Hause aus unsicher oder muss man die unsicher konfigurieren?

3

Si Senor…also Fehler der entsprechenden User!

Eva teilte BleepingComputer mit, dass sie Firebase-Instanzen gefunden hätten, die überhaupt keine Sicherheitsregeln hätten oder falsch konfiguriert seien und Lesezugriff auf Datenbanken erlaubten.

„Auf den meisten Websites war auch das Schreiben aktiviert, was schlecht ist “, erzählte uns Eva und fügte hinzu, dass sie unter diesen auch eine Bank gefunden hätten.
Evas Skript Catalyst prüfte für jede verfügbar gemachte Datenbank die Art der verfügbaren Daten und extrahierte eine Stichprobe von 100 Datensätzen.

Alle Details wurden in einer privaten Datenbank organisiert, die einen Überblick über die Anzahl der sensiblen Benutzerinformationen bietet, die Unternehmen aufgrund falscher Sicherheitseinstellungen preisgeben:

  • Namen: 84.221.169

  • E-Mails: 106.266.766

  • Telefonnummern: 33.559.863

  • Passwörter: 20.185.831

  • Rechnungsinformationen (Bankdaten, Rechnungen usw.): 27.487.924

  • Bei Passwörtern wird das Problem noch schlimmer, da 98 % davon, genauer gesagt 19.867.627, im Klartext vorliegen.

Eva erzählte uns, dass Unternehmen sich „sehr viel Mühe gegeben haben müssen, [das Passwort] im Klartext zu speichern“, da Firebase über eine End-to-End-Identitätslösung namens Firebase Authentication speziell für sichere Anmeldeprozesse verfügt, bei denen Benutzerpasswörter nicht offengelegt werden in den Aufzeichnungen.

:thinking: :-1:

4

Ich frage mich wieso man überhaupt Passwörter im Firestore hinterlegt obwohl man mit Firebase Auth genau das nicht braucht. Zudem lassen sich die Lese- und Schreibzugriffe im Firestore über Firebase Auth genauestens konfigurieren und mit Custom Claims sogar Rollenbasiert. Da wurden wohl die Firebase Docs nicht vernünftig studiert :face_with_monocle:

5

Danke für die Antwort. Mein Spanisch reicht ums zu verstehen :slight_smile:

Was mich halt wundert man liest des öfteren sowas wie Millionen von Cloud Instanzen anfällig für …
Da frag ich mich es kann eigentlich nicht soviel absichtlich falsch konfigurierte Instanzen geben. ? oder ?

Da ich schon Cloud programmiert habe, kann ich zumndest soviel sagen, das Cloud schon sehr unübersichtlich ist. Man sieht nur schwer was alles aktiv ist. Da muss man sich nur mal die Rechnung anschauen die man von AWS zb bekommt was da alles aufgelistet ist.

In Linux setzt du zb Port 3306, wers kennt…, auf intern only, schon ist das gröbste erledigt…

6

Das verstehen die Sicherheitsforscher ja selber nicht so ganz. Deshalb schrieb ich ja oben:

Wie so etwas überhaupt zustande komen kann:
Eine Möglichkeit, Benutzerkennwörter in einer Firestore-Datenbank offenzulegen, besteht darin, dass der Administrator ein „Kennwort“-Feld erstellt, in dem die Daten im Klartext gespeichert werden.
Und das ist natürlich schon ziemlich dämlich!!
:wink: :laughing: