您当前位置:首页 > 资讯中心 > 信息安全

不安全的Firebase数据库使关键数据面临风险

  当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种较简单且较具破坏性的安全事件。这种事件已经在未受保护的Amazon S3存储桶发生多次,导致敏感数据遭暴露,例如Booz Allen Hamilton、Verizon和五角大楼遭遇的泄漏事件。
 
  移动应用安全公司Appthority公司(现在属于赛门铁克公司)的研究表明,这种问题并不仅限于错误配置的Amazon基础设施。该报告还详细介绍了大量遭暴露的谷歌Firebase数据库,这些数据库用于支持移动应用并包含详细用户信息。
 
  Appthority公司共发现了2300个不安全的Firebase实例,总共暴露了超过1亿个用户记录。这包括高度敏感的数据,例如个人身份信息、健康记录和260万个明文密码。如果这些数据被黑客获取,对受影响的公司来说将非常具有破坏性,他们将面临声誉受损和潜在的监管罚款。
 
  不安全的Firebase和AWS之间的区别
 
  Amazon S3存储桶暴露的数据与这些不安全的Firebase实例之间的主要区别在于,在默认情况下Amazon是安全的,数据曝光是源于意外错误配置,而Firebase在首次安装时就是不安全的,而且,它需要开发人员保护单个表和行。
 
  尽管这并不复杂,并且,谷歌提供了有关如何安全配置Firebase的详细文档,但事实表明开发人员不一定接受过安全培训,或者没有在开发生命周期中没有时间部署正确安全控制。在大多数开发中都存在这种问题,而不仅仅是移动应用程序。但是,在移动应用程序的情况下,这更容易导致敏感数据暴露,因为开发人员使用的是基于云的基础架构。
 
  未受保护的数据很容易被黑客发现。Shodanthat等工具可索引整个互联网,并允许用户搜索特定的关键术语,让任何知道正确搜索术语的人可识别暴露的实例。由于数据暴露给所有人而不需要对数据库进行身份验证,任何瞄准此类漏洞的黑客都可以访问数据,而无需太多技术知识。
 
  这些不安全的Firebase数据库表明,即使在当前网络安全意识提高的时代,简单的错误也可能暴露敏感数据。虽然我们不断发现新的复杂漏洞,但这些漏洞在现实世界中通常无法轻易被利用,因为这需要大量的工作或技术知识。
 
  但是,不安全的Firebase实例等漏洞却很容易被利用,因此更有可能导致受影响企业泄漏数据。这表明企业需要投资于安全开发技能,并在开发生命周期中为开发人员留出时间以确保在数据暴露之前识别和修复这些类型的漏洞,这可较大限度地降低意外数据泄露的风险。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
法国布雷斯特商学院DBA班招生
作者:grabsun - 发布时间:2019-01-31 - 点击量:5390
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们