又發生了!Firebase資料庫的不當配置讓逾3,000行動程式的用戶資料外洩

研究人員上周發現270萬個app中有2.8萬個將資料存放在Firebase,當中有3,046個程式把資料置放於2,271個不當配置的Firebase資料庫中,超過1億筆資料可供第三方公開存取,包括明文的使用者帳號與密碼及GPS位置資訊,總計有113GB

 

Firebase為一網路及行動程式的開發平台,它提供雲端傳訊、通知、資料庫、分析功能,還有許多後端API,在2014年被Google買下,除了受到許多Android開發者的青睞之外,也是最受歡迎的行動程式資料儲存平台之一。

 

這些程式外洩的資料量高達113GB,包含了260萬筆的明文密碼與使用者帳號、400萬筆的健康紀錄與聊天訊息、2,500萬筆的GPS位置資訊、5萬筆的金融交易資訊,以及450萬筆的臉書/LinkedIn/Firebase用戶憑證等。

 

Appthority指出,2,446Android程式在Google Play上的總下載量超過了6.2億次,它們分散在不同的類別,從工具、生產力、健身、通訊、金融到商用程式等,有62%的企業至少使用了其中一款程式。

 

儘管這主要是因為開發者沒有驗證存取權限,才讓任何人都能存取,屬於Firebase資料庫的配置疏失,然而Appthority卻把矛頭指向Google,指出Firebase在預設上並未善盡保護用戶資料的責任,同時也缺乏可加密用戶資料的第三方工具。

 

解決方案

1.    數位身分認證:存取的時候驗證身分,確保不被第三方存取。

如: OTP密碼鎖、eToken、藍芽K1100SmartCard…等。更多

2.    數位資料保密:加強數據資料的加密安全性。

如:HSM硬體安全模組等。更多

3.    線上服務認證:線上服務認證方案為線上服務供應商及機構帶來商業價值,為遠端使用者(客戶、夥伴廠商、內部使用者) 提供強力安全認證,易於在操作的平台上獲取網頁服務、數位簽章服務。如:eTokenMobilePass…等。

4.    SSL數位憑證服務SSL (Secure Sockets Layer)是一種廣泛使用的安全協議,防止第三方訊息攔截或篡改傳輸中的任何數據,資料將受到安全機制保護,藉此保障所有網路活動資料的安全性,可根據業務需求選擇最合適的SSL證書類型,代表了服務器和瀏覽器之間的網路流量是安全的。

 

 

參考資料來源: https://www.ithome.com.tw/news/124055

 

 

 

欲詳細了解產品資訊請拜訪:

正新電腦 https://www.pronew.com.tw/ 04-24738309