Google Firebase 可能因配置错误而暴露了 1.25 亿条记录

配置错误的 Google Firebase 网站可能会泄露近 1.25 亿条用户记录。

三位安全研究人员最近发表的一篇文章称，超过 900 个配置错误的 Google Firebase 网站可能泄露了近 1.25 亿条用户记录，他们的在线账号为“mrbuh”、“xyzeva”和“logykk”。

安全研究员 mrbruh 于1 月 10 日首次报告称，他们在侵入基于人工智能的招聘系统 Chattr.ai 时，成功访问了 Applebee’s、Chick-fil-A、KFC、Subway 和 Taco Bell 等流行零售食品网站。

零售和酒店业 ISAC 于1 月 11 日（mrbruh 发表第一篇帖子的第二天）报告了该事件，称攻击者可以利用 Chattr.ai 的注册功能，通过滥用漏洞或错误配置来创建具有完全读/写权限的新用户配置文件在他们的Google Firebase后端数据库中。随后建议零售和酒店行业的公司联系 Chattr.ai。

在关于破解 Chattr.ai 的最初新闻发布之后，三名研究人员开始通过配置错误的 Firebase 实例在互联网上扫描暴露的 PII，就在那时他们发现了泄露的记录，包括重要的银行详细信息、账单信息和发票。泄露的数据还包括姓名、电话号码、电子邮件地址和密码。

行业对错误配置并不陌生

Keeper Security 安全与架构副总裁 Patrick Tiquet 表示，目前对云基础设施的大多数成功攻击都源于错误配置。 Tiquet 表示，Google Firebase 不断升级并改进其安全建议，但这些组件并不总是得到正确实施或监控，就像 Chattr 实施 Firebase 的情况一样。

“管理员应始终确保他们使用安全的保管库和机密管理解决方案，并立即执行必要的补丁和更新，”Tiquet 说。 “他们还应该检查云控制台的安全控制，以确保遵循最新的建议。”

Sectigo 产品高级副总裁 Jason Soroko 表示，这个案例对于云系统用户以及云架构师本身来说都是一个很好的教训。

索罗科表示：“最近的 Google Firebase 问题在某些方面可能会更严重，因为它允许恶意行为者使用管理功能，从而导致可能更深层次的妥协。” “让我们看看是否有一套工具可以帮助我们更好地评估配置。”