![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Unsch\u00f6ne Geschichte, die da gerade die Runde macht. Falsch konfigurierte Firebase-Instanzen bewirken, dass Klartext-Passw\u00f6rter zum Zugriff auf die Daten offen gelegt werden. Das betrifft wom\u00f6glich Millionen Nutzerdatendie in Firebase-Instanzen gespeichert wurden. Je nach Quelle ist von 19 Millionen oder 125 Millionen Datens\u00e4tzen in 900 falsch konfigurierten Google Firebase-Instanzen die Rede. <\/p>\n
<\/p>\n
Ich bin \u00fcber verschiedene Quellen wie den Artikel<\/a> hier, den nachfolgenden Tweet<\/a> der Kollegen von Bleeping Computer, die das Ganze hier aufbereitet<\/a> haben, auf das Thema gesto\u00dfen. <\/p>\n Mehrere Sicherheitsforscher haben das Ganze in diesem Beitrag<\/a> offen gelegt. Laut deren Angaben erlaubt Firebase eine einfache Fehlkonfiguration von Sicherheitsregeln ohne dass Warnungen angezeigt werden. Dies hat dann dazu gef\u00fchrt, dass Hunderte von Websites insgesamt ~125 Millionen Benutzerdatens\u00e4tze, einschlie\u00dflich Klartextpassw\u00f6rtern und sensiblen Rechnungsdaten, preisgegeben haben.<\/p>\n Zuerst gelang es Sicherheitsforscher mrbruh zum 10. Januar 2024 \u00fcber Chattr.ai<\/em>, ein KI-basiertes System, erfolgreich auf beliebte Websites des Lebensmitteleinzelhandels wie Applebee's, Chick-fil-A, KFC, Subway und Taco Bell zuzugreifen. Demnach k\u00f6nnen Angreifer die Registrierungsfunktion von Chattr.ai nutzen, um neue Nutzerprofile mit vollen Lese- und Schreibrechten zu erstellen. Das ist durch Ausnutzung einer Schwachstelle bzw. einer Fehlkonfiguration in der Google Firebase Backend-Datenbank m\u00f6glich. Unternehmen aus dem Einzelhandel und dem Gastgewerbe wurde daraufhin geraten, sich mit Chattr.ai in Verbindung zu setzen, hei\u00dft es hier<\/a>.<\/p>\n Die Sicherheitsforscher schrieben dann Scanner f\u00fcrs Web, die dieses auf Fehlkonfigurationen in Firebase-Instanzen absuchten und stie\u00dfen bei mehr als f\u00fcnf Millionen gescannten Domains auf mehr als 900 Instanzen mit Problemen. Dort hatten die Betreiber keine oder fehlerhafte Sicherheitsregeln f\u00fcr den Zugriff auf die Firebase-Datenbanken konfiguriert. <\/p>\n Durch diese Fehler war es m\u00f6glich, auf ca. 125 Millionen Datens\u00e4tze zuzugreifen, die sensible Benutzerdaten wie E-Mail-Adressen, Namen, Passw\u00f6rter, Telefonnummern und Rechnungsdaten mit Bankkontendetails enthielten. Bei manchen Organisationen hatten die Sicherheitsforscher Schreibrechte auf die Datenbank und konnten teilweise Passw\u00f6rter im Klartext auslesen. Bleeping Computer schreibt, dass 19,8 Millionen Datens\u00e4tze mit im Klartext gespeicherten Passw\u00f6rtern gefunden wurden. Die Sicherheitsforscher haben einige Details mit Bleeping Computer ausgetauscht die hier<\/a> dokumentiert sind. Wer also Produkte einsetzt, die auf Firebase einsetzen, sollte diese auf die Problematik \u00fcberpr\u00fcfen.<\/p>\n","protected":false},"excerpt":{"rendered":" Unsch\u00f6ne Geschichte, die da gerade die Runde macht. Falsch konfigurierte Firebase-Instanzen bewirken, dass Klartext-Passw\u00f6rter zum Zugriff auf die Daten offen gelegt werden. Das betrifft wom\u00f6glich Millionen Nutzerdatendie in Firebase-Instanzen gespeichert wurden. Je nach Quelle ist von 19 Millionen oder 125 … Weiterlesen Firebase<\/a> ist eine Entwicklungs-Plattform f\u00fcr mobile und Webanwendungen. Sie stellt \u00fcber ein Software Development Kit Tools und Infrastruktur zur Verf\u00fcgung, die es einem Entwickler erm\u00f6glichen sollen, einfacher und effizienter Funktionen mittels Programmierschnittstellen auf verschiedenen Plattformen bereitzustellen. Die Firebase Inc. wurde im September 2011 von James Tamplin und Andrew Lee gegr\u00fcndet und 2014 von Google \u00fcbernommen. Es gibt aktuell 18 (teils kostenpflichtige) Produkte, die von 1,5 Millionen Apps genutzt werden.<\/p>\n
Fehlkonfiguration legt Passw\u00f6rter offen<\/h2>\n
![\"Firebase](\"https:\/\/i.postimg.cc\/0Q9XqSQr\/image.png\"\/ "\\"Firebase")
<\/a><\/p>\n