不當配置的Firebase資料庫讓逾3,000行動程式的用戶資料外洩

行動程式資安業者Appthority上周指出，有3,046款使用Firebase服務的行動程式因不當配置而讓程式的用戶資訊曝光，總計有113GB、超過1億筆資料可供公開存取，包括明文的使用者帳號與密碼及GPS位置資訊等。

Firebase為一網路及行動程式的開發平台，它提供雲端傳訊、通知、資料庫、分析功能，還有許多後端API，在2014年被Google買下，除了受到許多Android開發者的青睞之外，也是最受歡迎的行動程式資料儲存平台之一。

Appthority在清查逾270萬個行動程式之後，發現有2.8萬個行動程式將資料存放在Firebase後端，當中有3,046個程式把資料置放於2,271個不當配置的Firebase資料庫中，而允許第三方公開檢視。它們大多數為Android程式，佔了2,446個，另有600個為iOS程式。

這些程式外洩的資料量高達113GB，包含了260萬筆的明文密碼與使用者帳號、400萬筆的健康紀錄與聊天訊息、2,500萬筆的GPS位置資訊、5萬筆的金融交易資訊，以及450萬筆的臉書/LinkedIn/Firebase用戶憑證等。

Appthority指出，2,446個Android程式在Google Play上的總下載量超過了6.2億次，它們分散在不同的類別，從工具、生產力、健身、通訊、金融到商用程式等，有62%的企業至少使用了其中一款程式。

儘管這主要是因為開發者沒有驗證存取權限，才讓任何人都能存取，屬於Firebase資料庫的配置疏失，然而Appthority卻把矛頭指向Google，指出Firebase在預設上並未善盡保護用戶資料的責任，同時也缺乏可加密用戶資料的第三方工具。