又發生了!Firebase資料庫的不當配置讓逾3,000行動程式的用戶資料外洩
研究人員上周發現270萬個app中有2.8萬個將資料存放在Firebase,當中有3,046個程式把資料置放於2,271個不當配置的Firebase資料庫中,超過1億筆資料可供第三方公開存取,包括明文的使用者帳號與密碼及GPS位置資訊,總計有113GB。
Firebase為一網路及行動程式的開發平台,它提供雲端傳訊、通知、資料庫、分析功能,還有許多後端API,在2014年被Google買下,除了受到許多Android開發者的青睞之外,也是最受歡迎的行動程式資料儲存平台之一。
這些程式外洩的資料量高達113GB,包含了260萬筆的明文密碼與使用者帳號、400萬筆的健康紀錄與聊天訊息、2,500萬筆的GPS位置資訊、5萬筆的金融交易資訊,以及450萬筆的臉書/LinkedIn/Firebase用戶憑證等。
Appthority指出,2,446個Android程式在Google Play上的總下載量超過了6.2億次,它們分散在不同的類別,從工具、生產力、健身、通訊、金融到商用程式等,有62%的企業至少使用了其中一款程式。
儘管這主要是因為開發者沒有驗證存取權限,才讓任何人都能存取,屬於Firebase資料庫的配置疏失,然而Appthority卻把矛頭指向Google,指出Firebase在預設上並未善盡保護用戶資料的責任,同時也缺乏可加密用戶資料的第三方工具。
解決方案
1. 數位身分認證:存取的時候驗證身分,確保不被第三方存取。
如: OTP密碼鎖、eToken、藍芽K1100、SmartCard…等。更多。
2. 數位資料保密:加強數據資料的加密安全性。
如:HSM硬體安全模組…等。更多。
3. 線上服務認證:線上服務認證方案為線上服務供應商及機構帶來商業價值,為遠端使用者(客戶、夥伴廠商、內部使用者) 提供強力安全認證,易於在操作的平台上獲取網頁服務、數位簽章服務。如:eToken、MobilePass…等。
4. SSL數位憑證服務:SSL (Secure Sockets Layer)是一種廣泛使用的安全協議,防止第三方訊息攔截或篡改傳輸中的任何數據,資料將受到安全機制保護,藉此保障所有網路活動資料的安全性,可根據業務需求選擇最合適的SSL證書類型,代表了服務器和瀏覽器之間的網路流量是安全的。
參考資料來源: https://www.ithome.com.tw/news/124055
欲詳細了解產品資訊請拜訪:
正新電腦 https://www.pronew.com.tw/ 04-24738309