นักวิจัยทางด้านความปลอดภัยพบว่ามี Firebase database ที่ใช้โดย iOS และ Android mobile Application มากมายเผลอปล่อยให้สามารถเข้าถึงได้จากภายนอกทำให้ข้อมูลจำนวน 100 ล้าน record (มีทั้ง password แบบไม่เข้ารหัส, user ID, location และอื่นๆ) หลุดออกมา

Firebase เป็น Google servier ที่ถือว่าเป็น service ยอดนิยมที่ถูกนำไปใช้เป็น backend ของ mobile และ web application จำนวนมาก ซึ่งทำให้ developer สามารถเก็บข้อมูลในรูปแบบ JSON ได้ อีกทั้งยังสามารถทำ auto synced ได้แบบ realtime ไปยัง client ทั้งหลายอีกด้วย

กรณีของข้อมูลที่หลุดออกมานั้นเป็นการพบโดยบริษัท Appthority ซึ่งพบว่าไม่มีการป้องกันอะไรทั้ง firewall และ authentication ทำให้ข้อมูลหลายร้อย gigabytes หลุดออกมา public คล้ายๆกับกรณีการ set เป็น public ของ AWS S3 ที่หลายๆหน่วยงานพลาดนั่นเอง (รวมถึงในไทยก็พลาดด้วยเช่นกัน) โดยการเข้าถึงก็ทำเพียงแค่เติม .json เข้าไปต่อท้ายเท่านั้นเอง

จากที่ researcher พบทั้งหมดอยู่ที่ 2.7 ล้าน app และพบว่า 3000 กว่า app (2446 Android App, 600 iOS App) นั้นหลุดทั้ง database ซึ่งมีเป็นล้าน record

ซึ่ง app ทั้งหมดเคยถูก download ไปแล้วทั้งสิ้น 620 ล้านครั้ง โดยเหตุผลหลักของการเกิดเหตุครั้งนี้คือ โดยปกติแล้ว Firebase เองนั้นไม่มีการป้องกันการเข้าถึงอยู่แล้ว Developer จำเป็นต้องทำ user authentication เอง ทาง security researcher ได้แจ้งทาง Google แล้วครับ
Source:: TheHackerNews