三名網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，谷歌用于托管數(shù)據(jù)庫(kù)、云計(jì)算和應(yīng)用程序開(kāi)發(fā)的平臺(tái) Firebase 的錯(cuò)誤配置實(shí)例在公共互聯(lián)網(wǎng)上暴露了近 1900 萬(wàn)個(gè)明文密碼。

他們掃描了 500 多萬(wàn)個(gè)域名，發(fā)現(xiàn)有 916 個(gè)網(wǎng)站沒(méi)有啟用安全規(guī)則或安全規(guī)則設(shè)置錯(cuò)誤。

另外，他們還發(fā)現(xiàn)了超過(guò) 1.25 億條敏感用戶(hù)記錄，包括電子郵件、姓名、密碼、電話號(hào)碼以及包含銀行詳細(xì)信息的賬單。

數(shù)百萬(wàn)明文密碼曝光

研究人員（ Logykk、xyzeva/Eva 和 MrBruh ）開(kāi)始在公網(wǎng)上尋找因不安全的 Firebase 實(shí)例而暴露的個(gè)人可識(shí)別信息（PII）。

Eva向BleepingComputer 透露，他們找到了一些 Firebase 實(shí)例，這些實(shí)例要么完全沒(méi)有設(shè)置安全規(guī)則，要么配置不當(dāng)，從而允許對(duì)數(shù)據(jù)庫(kù)的讀取權(quán)限。

而且大部分網(wǎng)站還開(kāi)放了寫(xiě)入權(quán)限，這非常不妥。在這些網(wǎng)站中，他們甚至發(fā)現(xiàn)了一家銀行。

對(duì)于每一個(gè)暴露的數(shù)據(jù)庫(kù)，Eva 的腳本 Catalyst 會(huì)檢驗(yàn)?zāi)男╊?lèi)型的數(shù)據(jù)是可獲取的，并抽取了 100 條記錄作為樣本進(jìn)行分析。

包含已曝光用戶(hù)記錄樣本的數(shù)據(jù)庫(kù) 來(lái)源： xyzeva

所有詳細(xì)信息都整理在一個(gè)私人數(shù)據(jù)庫(kù)中，該數(shù)據(jù)庫(kù)提供了公司因安全設(shè)置不當(dāng)而暴露的用戶(hù)敏感信息的數(shù)量概覽：

• 姓名：84221169 條（約 8400 萬(wàn)條）
• 電子郵件：106266766 條（約 1 億條）
• 電話號(hào)碼：33559863 條（約 3300 萬(wàn)條）
• 密碼：20185831 條（約 2000 萬(wàn)條）
• 賬單信息（銀行明細(xì)、發(fā)票等）： 27487924 條（約 2700 萬(wàn)條）

密碼的問(wèn)題更加嚴(yán)重，因?yàn)?98% 的密碼，準(zhǔn)確地說(shuō)是 19867627 個(gè)（約 1900 萬(wàn)）密碼都是純文本。

Eva 解釋說(shuō)，這些公司必須進(jìn)行了額外操作才會(huì)以明文形式存儲(chǔ)密碼，因?yàn)?Firebase 提供了一個(gè)稱(chēng)為 Firebase 認(rèn)證的端到端身份驗(yàn)證方案，這個(gè)方案專(zhuān)為安全登錄流程設(shè)計(jì)，不會(huì)在記錄中泄露用戶(hù)的密碼。

在 Firestore 數(shù)據(jù)庫(kù)中，如果管理員設(shè)置了一個(gè)名為 ‘password’ 的字段，并將密碼數(shù)據(jù)以明文形式存儲(chǔ)在其中，那么用戶(hù)的密碼就有可能暴露。

向網(wǎng)站所有者發(fā)出警告

在對(duì)樣本數(shù)據(jù)進(jìn)行分析后，研究人員嘗試向所有受影響的公司發(fā)出警告，提醒它們注意安全不當(dāng)?shù)?Firebase 實(shí)例，13 天內(nèi)共計(jì)發(fā)送了 842 封電子郵件。

其中，有 1%的網(wǎng)站所有者回復(fù)了郵件，四分之一收到通知的網(wǎng)站管理員修復(fù)了 Firebase 平臺(tái)中的錯(cuò)誤配置。

研究人員還從兩個(gè)網(wǎng)站所有者那里獲得了漏洞懸賞，不過(guò)，他們沒(méi)有透露賞金的具體數(shù)額，只表示他們接受了這些賞金，金額并不大。

另外，研究人員通過(guò)客戶(hù)支持渠道聯(lián)系了一些機(jī)構(gòu)，但得到的回應(yīng)并不專(zhuān)業(yè)。在一個(gè)管理著九個(gè)網(wǎng)站的印尼賭博網(wǎng)絡(luò)的案例中，當(dāng)研究人員報(bào)告問(wèn)題并提供修復(fù)指導(dǎo)時(shí)遭到了嘲諷。

研究人員在報(bào)告Firebase問(wèn)題時(shí)遭遇嘲諷 來(lái)源：xyzeva

巧合的是，同一家公司的銀行賬戶(hù)記錄（800 萬(wàn)條）和純文本密碼（1000 萬(wàn)條）被曝光的數(shù)量最多。

據(jù)其中一名研究人員稱(chēng)，該公司位于印度尼西亞，年利潤(rùn)為 400 萬(wàn)美元。

曝光記錄總數(shù)達(dá) 2.23 億條

掃描互聯(lián)網(wǎng)、解析原始數(shù)據(jù)和整理工作耗時(shí)約一個(gè)月，整個(gè)過(guò)程從開(kāi)始到結(jié)束并不順利。

起初，他們使用 MrBruh 制作的 Python 腳本進(jìn)行掃描，以檢查網(wǎng)站或其 JavaScript 捆綁程序中的 Firebase 配置變量。

該腳本消耗大量?jī)?nèi)存，不適合執(zhí)行任務(wù)，因此被 Logykk 用 Golang 編寫(xiě)的變種腳本取代，該腳本花了兩個(gè)多星期才完成互聯(lián)網(wǎng)掃描。

新腳本掃描了五百多萬(wàn)個(gè)連接到谷歌 Firebase 平臺(tái)的域名，用于后端云計(jì)算服務(wù)和應(yīng)用程序開(kāi)發(fā)。

為了自動(dòng)檢查 Firebase 中的讀取權(quán)限，研究小組使用了 Eva 的另一個(gè)腳本，該腳本會(huì)抓取網(wǎng)站或其 JavaScript，以便訪問(wèn) Firebase 集合（Cloud Firestore NoSQL 數(shù)據(jù)庫(kù)）。

研究人員在配置錯(cuò)誤的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)的記錄總數(shù)為 223172248 條（約 2.23 億條）。其中，124605664 條（約 1.24 億）記錄與個(gè)人用戶(hù)有關(guān)；其余記錄代表與組織及其測(cè)試相關(guān)的數(shù)據(jù)。

上述暴露的記錄數(shù)量已經(jīng)很多了，但研究人員警告說(shuō)這個(gè)數(shù)字可能偏低，實(shí)際的數(shù)量很可能更高。

一切是如何開(kāi)始的

在互聯(lián)網(wǎng)上掃描配置錯(cuò)誤的 Firebase 實(shí)例所暴露的 PII 是研究人員兩個(gè)月前開(kāi)展的另一個(gè)項(xiàng)目的后續(xù)行動(dòng)，當(dāng)時(shí)由于配置錯(cuò)誤問(wèn)題，他們獲得了人工智能招聘軟件解決方案 Chattr 所使用的 Firebase 實(shí)例的管理員和 "超級(jí)管理員 "權(quán)限。

美國(guó)許多大型快餐連鎖店，如肯德基、溫迪、塔可鐘、Chick-fil-A、Subway、Arby's、Applebee's 和 Jimmy John's 都使用 Chattr 來(lái)招聘員工。

雖然 Chattr 的 Firebase 面板中的管理員角色允許查看與試圖在快餐連鎖店獲得工作的個(gè)人相關(guān)的敏感信息，但 "超級(jí)管理員 "職位允許訪問(wèn)公司賬戶(hù)，并代表公司執(zhí)行某些任務(wù)，包括招聘決策。

研究人員還負(fù)責(zé)任地向 Chattr 披露了該漏洞，后者修復(fù)了漏洞，之后就再也沒(méi)有回復(fù)進(jìn)一步的電子郵件。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/