谷歌因Firebase错误配置导致数百万敏感信息泄露

扫码领资料

获网安教程

近期，三名网络安全研究人员发现，因 Firebase（一个用于托管数据库、云计算和应用程序开发的 Google 平台）配置错误导致近 1900 万个明文密码在公共互联网上暴露。

他们扫描了超过 500 万个域名，发现来自企业的 916 个网站没有启用安全规则或配置错误。

他们发现了超过 1.25 亿条敏感用户数据，其中包括电子邮件、姓名、密码、电话号码以及银行的详细账单信息。

数百万明文密码泄露

研究人员（Logykk、xyzeva/Eva和 MrBruh）开始在公共网络上查找易受攻击的 Firebase 实例暴露的个人身份信息 (PII)。

Eva向BleepingComputer表示，他们发现 Firebase 实例根本没有安全规则，或者配置错误并且允许对数据库进行读取访问。大多数网站都启用了写入功能，这是非常不安全的，他们甚至发现了一家银行。

对于每个公开的数据库，Eva 的脚本 Catalyst 会检查可用数据的类型并提取 100 条记录作为样本。

包含暴露用户记录样本的数据库 来源：xyzeva

所有详细信息都存储在一个私人数据库中，该数据库提供了公司因安全设置不当而暴露的敏感用户信息的数量概览：

• 姓名：84221169 条（约 8400 条）

• 电子邮件：106266766 条（约 1 亿条）

• 电话号码：33559863 条（约 3300 条）

• 密码：20185831 条（约 2000 万条）

• 账单信息（银行信息、发票等）：27487924 条（约 2700 万条）

对于密码来说，问题变得非常严重，因为其中 98%（约 1900万个）都是纯文本形式。

Eva 表示，公司会以纯文本形式存储密码，是因为 Firebase 有一个 Firebase 身份验证的端到端身份验证方案，专门用于用户密码防护的安全登录过程。

在 Firestore 数据库中暴露明文密码的做法是管理员创建一个以明文形式存储数据的“password”字段。

提醒网站所有者

在分析了样本数据后，安全研究人员试图警告所有受影响的公司 Firebase 实例安全措施不当，并在 13 天内发送了 842 封电子邮件。

尽管只有 1% 的网站所有者做出了回复，但四分之一收到通知的网站管理员修复了 Firebase 平台中的错误配置。

研究人员还获得了两个网站所有者提供的漏洞奖励。不过他们并没有透露奖金金额，只表示他们接受了奖金并且数额不大。

安全研究人员还通过客户支持渠道联系了一些企业，但得到的答复并不专业。

以管理着九个网站的印度尼西亚赌博网络为例，研究人员在报告问题并指出解决问题的指导时却遭到了嘲讽。

研究人员在报告 Firebase 问题时遭到嘲讽 来源：xyzeva

无独有偶，该公司泄露的银行账户记录（800万条）和明文密码（1000万条）数量最多。据一位研究人员称，该公司总部位于印度尼西亚，年利润为 400 万美元。

被泄露的记录达到 2.23 亿条

扫描互联网、原始数据的解析、整理数据大约花了一个月的时间，从开始到结束的过程并不顺利。

最初，他们使用 MrBruh 构建的 Python 脚本运行扫描，以检查网站或其 JavaScript 包中 Firebase 配置中的变量。

由于内存消耗较大，该脚本不适合执行任务，因此被 Logykk 编写的 Golang 脚本所取代，该脚本花了两周多的时间才完成对互联网的扫描。

新脚本扫描了连接到 Google Firebase 平台的超过 500 万个域，用于后端云计算服务和应用程序开发。

为了自动检查 Firebase 中的读取权限，该团队使用了 Eva 的另一个脚本，该脚本能够抓取网站或其 JavaScript 以访问 Firebase 集合（Cloud Firestore NoSQL 数据库）。

研究人员在配置错误的数据库中发现的记录总数为 223172248 （约为 2.23亿）条。其中，124605664（约为1.24亿） 条记录与用户相关，其余的记录代表与组织及其测试相关的数据。

尽管暴露的记录数量很多，但研究人员警告说，这个数字相对保守，实际数量可能更大。

一切是如何开始的

扫描互联网以查找配置错误的 Firebase 实例中暴露的 PII 是研究人员两个月前进行的另一个项目的后续工作，当时，由于配置错误问题，他们在一个实例上获得了Firebase管理员权限 以及Chattr（一种人工智能驱动的招聘软件解决方案）的超级管理员权限。

美国许多大型快餐连锁店（如肯德基、Wendy's、Taco Bell、Chick-fil-A、Subway、Arby's、Applebee's 和 Jimmy John's）都使用 Chattr 来招聘员工。

虽然 Chattr 的 Firebase 仪表板中的管理员角色允许查看与试图在快餐连锁店找到工作的个人相关的敏感信息，但具有“超级管理员”权限的职位可以访问公司的帐户并代表公司执行某些任务，包括招聘决策。

研究人员还负责任地向 Chattr 披露了该漏洞，后者修复了该漏洞，但之后不在回复进一步的电子邮件。

原文地址：https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/

图片来源：https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+靶场账号哦

原文始发于微信公众号（掌控安全EDU）：谷歌因Firebase错误配置导致数百万敏感信息泄露