可能因配置错误，Google Firebase的1.25亿条记录

根据三位安全研究人员最近发表的一篇文章，超过 900 个配置错误的 Google Firebase 网站可能泄露了近 1.25 亿条用户记录，他们在网上使用“mrbuh”、“xyzeva”和“logykk”。

1月10日，安全研究员mrbruh首次报告说，在入侵基于人工智能的招聘系统 Chattr.ai 时，他们成功访问了Applebee's、Chick-fil-A、肯德基、赛百味和塔可钟等流行的零售食品网站。

零售和酒店业ISAC于1月11日报道了这一事件，即mrbruh发布第一篇文章的第二天，称攻击者可以使用Chattr.ai的注册功能，通过滥用其Google Firebase后端数据库中的漏洞或错误配置，创建具有完全读/写权限的新用户配置文件。然后建议零售和酒店业的公司联系 Chattr.ai。

在最初围绕 pwning Chattr.ai 的新闻报道之后，这三位研究人员开始通过错误配置的 Firebase 实例扫描互联网以查找暴露的 PII——就在那时，他们发现了泄露的记录，包括重要的银行详细信息、账单信息和发票。泄露的数据还包括姓名、电话号码、电子邮件地址和密码。

截至发稿时，试图联系 Chattr.ai 和谷歌发表评论的努力没有成功。

行业对错误配置并不陌生

如今，大多数对云基础设施的成功攻击都源于配置错误，Keeper Security 安全和架构副总裁 Patrick Tiquet 说。Tiquet 说，Google Firebase 不断升级和发展其安全建议，但是，这些组件并不总是正确实施或受到监控，就像 Chattr 实施 Firebase 的情况一样。

“管理员应始终确保他们使用安全的保管库和机密管理解决方案，并立即执行必要的补丁和更新，”Tiquet 说。“他们还应该检查云控制台的安全控制，以确保他们遵循最新的建议。

Sectigo 产品高级副总裁 Jason Soroko 表示，这个案例对云系统用户以及云架构师本身来说都是一个很好的教训。

“最近的Google Firebase问题在某些方面可能会更糟，因为它允许恶意行为者的管理功能，导致潜在的更深层次的妥协，”Soroko说。“让我们看看我们是否得到了一套工具来帮助我们更好地评估配置。