三名網絡安全研究人員發現，谷歌用于托管數據庫、云計算和應用程序開發的平臺 Firebase 的錯誤配置實例在公共互聯網上暴露了近 1900 萬個明文密碼。

他們掃描了 500 多萬個域名，發現有 916 個網站沒有啟用安全規則或安全規則設置錯誤。

另外，他們還發現了超過 1.25 億條敏感用戶記錄，包括電子郵件、姓名、密碼、電話號碼以及包含銀行詳細信息的賬單。

數百萬明文密碼曝光

研究人員（ Logykk、xyzeva/Eva 和 MrBruh ）開始在公網上尋找因不安全的 Firebase 實例而暴露的個人可識別信息（PII）。

Eva向BleepingComputer 透露，他們找到了一些 Firebase 實例，這些實例要么完全沒有設置安全規則，要么配置不當，從而允許對數據庫的讀取權限。

而且大部分網站還開放了寫入權限，這非常不妥。在這些網站中，他們甚至發現了一家銀行。

對于每一個暴露的數據庫，Eva 的腳本 Catalyst 會檢驗哪些類型的數據是可獲取的，并抽取了 100 條記錄作為樣本進行分析。

包含已曝光用戶記錄樣本的數據庫 來源： xyzeva

所有詳細信息都整理在一個私人數據庫中，該數據庫提供了公司因安全設置不當而暴露的用戶敏感信息的數量概覽：

• 姓名：84221169 條（約 8400 萬條）
• 電子郵件：106266766 條（約 1 億條）
• 電話號碼：33559863 條（約 3300 萬條）
• 密碼：20185831 條（約 2000 萬條）
• 賬單信息（銀行明細、發票等）： 27487924 條（約 2700 萬條）

密碼的問題更加嚴重，因為 98% 的密碼，準確地說是 19867627 個（約 1900 萬）密碼都是純文本。

Eva 解釋說，這些公司必須進行了額外操作才會以明文形式存儲密碼，因為 Firebase 提供了一個稱為 Firebase 認證的端到端身份驗證方案，這個方案專為安全登錄流程設計，不會在記錄中泄露用戶的密碼。

在 Firestore 數據庫中，如果管理員設置了一個名為 ‘password’ 的字段，并將密碼數據以明文形式存儲在其中，那么用戶的密碼就有可能暴露。

向網站所有者發出警告

在對樣本數據進行分析后，研究人員嘗試向所有受影響的公司發出警告，提醒它們注意安全不當的 Firebase 實例，13 天內共計發送了 842 封電子郵件。

其中，有 1%的網站所有者回復了郵件，四分之一收到通知的網站管理員修復了 Firebase 平臺中的錯誤配置。

研究人員還從兩個網站所有者那里獲得了漏洞懸賞，不過，他們沒有透露賞金的具體數額，只表示他們接受了這些賞金，金額并不大。

另外，研究人員通過客戶支持渠道聯系了一些機構，但得到的回應并不專業。在一個管理著九個網站的印尼賭博網絡的案例中，當研究人員報告問題并提供修復指導時遭到了嘲諷。

研究人員在報告Firebase問題時遭遇嘲諷 來源：xyzeva

巧合的是，同一家公司的銀行賬戶記錄（800 萬條）和純文本密碼（1000 萬條）被曝光的數量最多。

據其中一名研究人員稱，該公司位于印度尼西亞，年利潤為 400 萬美元。

曝光記錄總數達 2.23 億條

掃描互聯網、解析原始數據和整理工作耗時約一個月，整個過程從開始到結束并不順利。

起初，他們使用 MrBruh 制作的 Python 腳本進行掃描，以檢查網站或其 JavaScript 捆綁程序中的 Firebase 配置變量。

該腳本消耗大量內存，不適合執行任務，因此被 Logykk 用 Golang 編寫的變種腳本取代，該腳本花了兩個多星期才完成互聯網掃描。

新腳本掃描了五百多萬個連接到谷歌 Firebase 平臺的域名，用于后端云計算服務和應用程序開發。

為了自動檢查 Firebase 中的讀取權限，研究小組使用了 Eva 的另一個腳本，該腳本會抓取網站或其 JavaScript，以便訪問 Firebase 集合（Cloud Firestore NoSQL 數據庫）。

研究人員在配置錯誤的數據庫中發現的記錄總數為 223172248 條（約 2.23 億條）。其中，124605664 條（約 1.24 億）記錄與個人用戶有關；其余記錄代表與組織及其測試相關的數據。

上述暴露的記錄數量已經很多了，但研究人員警告說這個數字可能偏低，實際的數量很可能更高。

一切是如何開始的

在互聯網上掃描配置錯誤的 Firebase 實例所暴露的 PII 是研究人員兩個月前開展的另一個項目的后續行動，當時由于配置錯誤問題，他們獲得了人工智能招聘軟件解決方案 Chattr 所使用的 Firebase 實例的管理員和 "超級管理員 "權限。

美國許多大型快餐連鎖店，如肯德基、溫迪、塔可鐘、Chick-fil-A、Subway、Arby's、Applebee's 和 Jimmy John's 都使用 Chattr 來招聘員工。

雖然 Chattr 的 Firebase 面板中的管理員角色允許查看與試圖在快餐連鎖店獲得工作的個人相關的敏感信息，但 "超級管理員 "職位允許訪問公司賬戶，并代表公司執行某些任務，包括招聘決策。

研究人員還負責任地向 Chattr 披露了該漏洞，后者修復了漏洞，之后就再也沒有回復進一步的電子郵件。

參考來源：https://www.bleepingcomputer.com/news/security/misconfigured-firebase-instances-leaked-19-million-plaintext-passwords/