Unschöne Geschichte, die da gerade die Runde macht. Falsch konfigurierte Firebase-Instanzen bewirken, dass Klartext-Passwörter zum Zugriff auf die Daten offen gelegt werden. Das betrifft womöglich Millionen Nutzerdatendie in Firebase-Instanzen gespeichert wurden. Je nach Quelle ist von 19 Millionen oder 125 Millionen Datensätzen in 900 falsch konfigurierten Google Firebase-Instanzen die Rede.
Anzeige
Firebase ist eine Entwicklungs-Plattform für mobile und Webanwendungen. Sie stellt über ein Software Development Kit Tools und Infrastruktur zur Verfügung, die es einem Entwickler ermöglichen sollen, einfacher und effizienter Funktionen mittels Programmierschnittstellen auf verschiedenen Plattformen bereitzustellen. Die Firebase Inc. wurde im September 2011 von James Tamplin und Andrew Lee gegründet und 2014 von Google übernommen. Es gibt aktuell 18 (teils kostenpflichtige) Produkte, die von 1,5 Millionen Apps genutzt werden.
Fehlkonfiguration legt Passwörter offen
Ich bin über verschiedene Quellen wie den Artikel hier, den nachfolgenden Tweet der Kollegen von Bleeping Computer, die das Ganze hier aufbereitet haben, auf das Thema gestoßen.
Mehrere Sicherheitsforscher haben das Ganze in diesem Beitrag offen gelegt. Laut deren Angaben erlaubt Firebase eine einfache Fehlkonfiguration von Sicherheitsregeln ohne dass Warnungen angezeigt werden. Dies hat dann dazu geführt, dass Hunderte von Websites insgesamt ~125 Millionen Benutzerdatensätze, einschließlich Klartextpasswörtern und sensiblen Rechnungsdaten, preisgegeben haben.
Anzeige
Zuerst gelang es Sicherheitsforscher mrbruh zum 10. Januar 2024 über Chattr.ai, ein KI-basiertes System, erfolgreich auf beliebte Websites des Lebensmitteleinzelhandels wie Applebee's, Chick-fil-A, KFC, Subway und Taco Bell zuzugreifen. Demnach können Angreifer die Registrierungsfunktion von Chattr.ai nutzen, um neue Nutzerprofile mit vollen Lese- und Schreibrechten zu erstellen. Das ist durch Ausnutzung einer Schwachstelle bzw. einer Fehlkonfiguration in der Google Firebase Backend-Datenbank möglich. Unternehmen aus dem Einzelhandel und dem Gastgewerbe wurde daraufhin geraten, sich mit Chattr.ai in Verbindung zu setzen, heißt es hier.
Die Sicherheitsforscher schrieben dann Scanner fürs Web, die dieses auf Fehlkonfigurationen in Firebase-Instanzen absuchten und stießen bei mehr als fünf Millionen gescannten Domains auf mehr als 900 Instanzen mit Problemen. Dort hatten die Betreiber keine oder fehlerhafte Sicherheitsregeln für den Zugriff auf die Firebase-Datenbanken konfiguriert.
Durch diese Fehler war es möglich, auf ca. 125 Millionen Datensätze zuzugreifen, die sensible Benutzerdaten wie E-Mail-Adressen, Namen, Passwörter, Telefonnummern und Rechnungsdaten mit Bankkontendetails enthielten. Bei manchen Organisationen hatten die Sicherheitsforscher Schreibrechte auf die Datenbank und konnten teilweise Passwörter im Klartext auslesen. Bleeping Computer schreibt, dass 19,8 Millionen Datensätze mit im Klartext gespeicherten Passwörtern gefunden wurden. Die Sicherheitsforscher haben einige Details mit Bleeping Computer ausgetauscht die hier dokumentiert sind. Wer also Produkte einsetzt, die auf Firebase einsetzen, sollte diese auf die Problematik überprüfen.
Anzeige
Wer als Entwickler Firebase nutzt, hat es nicht anders verdient! Heutzutage heißt "programmieren" irgendwelche Frameworks und Libarys bis zum gewünschten Ergebnis zusammen zuklicken. Ich hab mal auf Fiverr nach einen URL Kürzer gefragt ohne diesen ganzen Klickibunti Firlefanz. Ergebnis: Eine Antwort weil nicht richtig gelesen wurde!
Ohne "irgendwelche" Frameworks und Libarys würde ein Großteil des heutigen Netzes noch auf dem Stand wie vor 10 Jahren sein.
Warum das Rad neu erfinden, wenn sich jemand schon mal dazu Gedanken gemacht hat und dies sogar anderen für die Nutzung zur Verfügung stellt. Es ist ein Werkzeug und wie ein physisches Werkzeug, muss es richtig benutzt und eingesetzt werden.
Die Frameworks erfinden ständig das Rad neu.
Wer heute programmiert muss nicht die Sprache können, sondern einen Überblick über den Frameworkdschungel haben. Leider endet das oft mit purem Chaos.
Warum nutzt man einen Sechsachser Allrad wenn man damit nur in der Stadt Kurzstrecken fährt?
Weil man es kann, es "cool ist" und eine gewisse weibliche Clientel darauf steht.
Oder, bezogen auf die Frameworks, um das Ergebnis mit dem geringsten eigenen Aufwand zu erreichen (z.B. weil man das F. bereits kennt).
Immer der Vergleich mit dem Rad… – Auch das Rad wurde in der Geschichte der Menschheit immer wieder neu erfunden.
Das mit den Frameworks hat leider auch noch einen anderen gravierenden Nachteil: Bei dem ganzen Zusammengestöpsel kann vieles nur mehr auf Umwegen implementiert werden (wenn man nicht eine unbekannte Zeitspanne darauf hoffen kann, daß ein Patch in einer Fremdlibrary angenommen wird) und man kann eben nicht einfach mal ein Feature implementieren, das auf mehreren Ebenen des Stacks Änderungen erforderlich macht. – Wenn wir schon im Umfeld von Rädern bleiben wollen – schau Dir BYD an – die machen fast alles selbst und haben dadurch auch gewaltige Vorteile.
Sorry aber wer legt denn heutzutage noch Passwörter im Klartext ab?
Richtig schlimm ist, dass im Jahre 2024 manche immer noch Klartextpasswörter speichern.
Noch schlimmer: es hat keine Konsequenzen.
Karma ist ne Bitch ;-P
Klicki Buntie Programmierer… was erwartet man da?
Ein Supergau jagt den Nächsten.
Bin gespannt, was mit Hilfe entsprechender KI-Systeme noch alles kommt.
Rechne persönlich damit, das MS bald wieder dran sein wird.
Wenn man schon Firebase nutzt, warum dann nicht auch direkt deren FireAuth ?!
Da muss man sich doch um nichts mehr kümmern. Dann hätte man zumindest keine Passwörter auslesen können.