Firebase de Google : des milliers d'apps exposent des données en clair
- Medhi Naitmazi
- Il y a 7 ans (Màj il y a 6 ans)
- 💬 1 com
- 🔈 Écouter
Si vous êtes développeurs, vous connaissez certainement Firebase de Google. Cet outil est aujourd'hui au coeur d'une fuite de données à cause de mauvaise utilisation.
Quelques 2200 bases de données Firebase non sécurisées ont provoqué des fuites de données de plus de 3000 applications iOS et Android, exposant plus de 100 millions d'enregistrements, y compris des mots de passe en clair, des informations de santé, des données de localisation GPS. Quand on sait que des apps comme Shazam s'appuie dessus ...
Firebase c'est quoi ?
Il s'agit d'un service d'hébergement back-end pour n'importe quel type d'application (Android, iOS, Javascript, Node.js, Java, Unity, PHP, C++, etc). Il propose d'héberger en NoSQL et en temps réel des bases de données, du contenu, de l'authentification sociale (Google, Facebook, Twitter et Github), et des notifications, ou encore des services, comme par exemple un serveur de communication temps réel.
Lancé en 2011 sous le nom d'Envolve, par Andrew Lee et par James Templin, le service est racheté par Google en octobre 2014.
Wikipédia
FireBase pointé du doigt
Selon un nouveau rapport de la société de sécurité Appthority, le problème se produit lorsque les développeurs d'applications choisissent de ne pas exiger l'authentification pour les bases de données Cloud de Firebase, ce qui n'est pas activé par défaut.
Appthority a trouvé que sur les 1 275 applications iOS utilisant une base de données Firebase, 600 étaient vulnérables. Dans l'ensemble, plus de 3 000 applications fuitent les données de 2 271 bases de données mal configurées. Parmi les données divulguées figurent 2,6 millions de mots de passe en clair et d'identifiants d'utilisateurs, plus de 4 millions d'enregistrements d'informations médicales et 50 000 enregistrements financiers.
Pour sécuriser correctement les données, les développeurs doivent implémenter spécifiquement l'authentification des utilisateurs sur toutes les tables et lignes de la base de données, ce qui arrive rarement en pratique. De plus, les pirates ont peu d'efforts à faire pour trouver des bases de données d'applications Firebase ouvertes et accéder à des millions d'enregistrements d'applications de données mobiles privées.
Appthority a évalué 2,7 millions d'applications iOS et Android pour identifier 28 502 applications mobiles - 27 227 Android et 1 275 iOS - qui stockaient des données dans le nuage de Firebase.
En 2017, 4 578 (9%) étaient vulnérables, en 2018 (en cours), ce sont 1 693 apps qui sont encore exposées !
Si vous utilisez cet outil, pensez à sécuriser toutes les données de vos utilisateurs en forçant l'authentification.
Source