Falsch konfigurierte Firebase-Instanzen legen Millionen Klartext-Passwörter offen

Sicherheit (Pexels, allgemeine Nutzung)Unschöne Geschichte, die da gerade die Runde macht. Falsch konfigurierte Firebase-Instanzen bewirken, dass Klartext-Passwörter zum Zugriff auf die Daten offen gelegt werden. Das betrifft womöglich Millionen Nutzerdatendie in Firebase-Instanzen gespeichert wurden. Je nach Quelle ist von 19 Millionen oder 125 Millionen Datensätzen in 900 falsch konfigurierten Google Firebase-Instanzen die Rede.


Anzeige

Firebase ist eine Entwicklungs-Plattform für mobile und Webanwendungen. Sie stellt über ein Software Development Kit Tools und Infrastruktur zur Verfügung, die es einem Entwickler ermöglichen sollen, einfacher und effizienter Funktionen mittels Programmierschnittstellen auf verschiedenen Plattformen bereitzustellen. Die Firebase Inc. wurde im September 2011 von James Tamplin und Andrew Lee gegründet und 2014 von Google übernommen. Es gibt aktuell 18 (teils kostenpflichtige) Produkte, die von 1,5 Millionen Apps genutzt werden.

Fehlkonfiguration legt Passwörter offen

Ich bin über verschiedene Quellen wie den Artikel hier, den nachfolgenden Tweet der Kollegen von Bleeping Computer, die das Ganze hier aufbereitet haben, auf das Thema gestoßen.

  Firebase Problem

Mehrere Sicherheitsforscher haben das Ganze in diesem Beitrag offen gelegt. Laut deren Angaben erlaubt Firebase eine einfache Fehlkonfiguration von Sicherheitsregeln ohne dass Warnungen angezeigt werden. Dies hat dann dazu geführt, dass Hunderte von Websites insgesamt ~125 Millionen Benutzerdatensätze, einschließlich Klartextpasswörtern und sensiblen Rechnungsdaten, preisgegeben haben.

Zuerst gelang es Sicherheitsforscher mrbruh zum 10. Januar 2024 über Chattr.ai, ein KI-basiertes System, erfolgreich auf beliebte Websites des Lebensmitteleinzelhandels wie Applebee's, Chick-fil-A, KFC, Subway und Taco Bell zuzugreifen. Demnach können Angreifer die Registrierungsfunktion von Chattr.ai nutzen, um neue Nutzerprofile mit vollen Lese- und Schreibrechten zu erstellen. Das ist durch Ausnutzung einer Schwachstelle bzw. einer Fehlkonfiguration in der Google Firebase Backend-Datenbank möglich. Unternehmen aus dem Einzelhandel und dem Gastgewerbe wurde daraufhin geraten, sich mit Chattr.ai in Verbindung zu setzen, heißt es hier.

Die Sicherheitsforscher schrieben dann Scanner fürs Web, die dieses auf Fehlkonfigurationen in Firebase-Instanzen absuchten und stießen bei mehr als fünf Millionen gescannten Domains auf mehr als 900 Instanzen mit Problemen. Dort hatten die Betreiber keine oder fehlerhafte Sicherheitsregeln für den Zugriff auf die Firebase-Datenbanken konfiguriert.

Durch diese Fehler war es möglich, auf ca. 125 Millionen Datensätze zuzugreifen, die sensible Benutzerdaten wie E-Mail-Adressen, Namen, Passwörter, Telefonnummern und Rechnungsdaten mit Bankkontendetails enthielten. Bei manchen Organisationen hatten die Sicherheitsforscher Schreibrechte auf die Datenbank und konnten teilweise Passwörter im Klartext auslesen. Bleeping Computer schreibt, dass 19,8 Millionen Datensätze mit im Klartext gespeicherten Passwörtern gefunden wurden. Die Sicherheitsforscher haben einige Details mit Bleeping Computer ausgetauscht die hier dokumentiert sind. Wer also Produkte einsetzt, die auf Firebase einsetzen, sollte diese auf die Problematik überprüfen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Falsch konfigurierte Firebase-Instanzen legen Millionen Klartext-Passwörter offen

  1. q sagt:

    Wer als Entwickler Firebase nutzt, hat es nicht anders verdient! Heutzutage heißt "programmieren" irgendwelche Frameworks und Libarys bis zum gewünschten Ergebnis zusammen zuklicken. Ich hab mal auf Fiverr nach einen URL Kürzer gefragt ohne diesen ganzen Klickibunti Firlefanz. Ergebnis: Eine Antwort weil nicht richtig gelesen wurde!

  2. Michael sagt:

    Ohne "irgendwelche" Frameworks und Libarys würde ein Großteil des heutigen Netzes noch auf dem Stand wie vor 10 Jahren sein.

    Warum das Rad neu erfinden, wenn sich jemand schon mal dazu Gedanken gemacht hat und dies sogar anderen für die Nutzung zur Verfügung stellt. Es ist ein Werkzeug und wie ein physisches Werkzeug, muss es richtig benutzt und eingesetzt werden.

    • Peter sagt:

      Die Frameworks erfinden ständig das Rad neu.
      Wer heute programmiert muss nicht die Sprache können, sondern einen Überblick über den Frameworkdschungel haben. Leider endet das oft mit purem Chaos.

    • q sagt:

      Warum nutzt man einen Sechsachser Allrad wenn man damit nur in der Stadt Kurzstrecken fährt?

      • Bernd B. sagt:

        Weil man es kann, es "cool ist" und eine gewisse weibliche Clientel darauf steht.
        Oder, bezogen auf die Frameworks, um das Ergebnis mit dem geringsten eigenen Aufwand zu erreichen (z.B. weil man das F. bereits kennt).

    • Martin sagt:

      Immer der Vergleich mit dem Rad… – Auch das Rad wurde in der Geschichte der Menschheit immer wieder neu erfunden.

    • Martin sagt:

      Das mit den Frameworks hat leider auch noch einen anderen gravierenden Nachteil: Bei dem ganzen Zusammengestöpsel kann vieles nur mehr auf Umwegen implementiert werden (wenn man nicht eine unbekannte Zeitspanne darauf hoffen kann, daß ein Patch in einer Fremdlibrary angenommen wird) und man kann eben nicht einfach mal ein Feature implementieren, das auf mehreren Ebenen des Stacks Änderungen erforderlich macht. – Wenn wir schon im Umfeld von Rädern bleiben wollen – schau Dir BYD an – die machen fast alles selbst und haben dadurch auch gewaltige Vorteile.

  3. Alex Klose sagt:

    Sorry aber wer legt denn heutzutage noch Passwörter im Klartext ab?

  4. Anonymous sagt:

    Richtig schlimm ist, dass im Jahre 2024 manche immer noch Klartextpasswörter speichern.

  5. Luzifer sagt:

    Karma ist ne Bitch ;-P
    Klicki Buntie Programmierer… was erwartet man da?

  6. janil sagt:

    Ein Supergau jagt den Nächsten.
    Bin gespannt, was mit Hilfe entsprechender KI-Systeme noch alles kommt.
    Rechne persönlich damit, das MS bald wieder dran sein wird.

  7. Markus sagt:

    Wenn man schon Firebase nutzt, warum dann nicht auch direkt deren FireAuth ?!

    Da muss man sich doch um nichts mehr kümmern. Dann hätte man zumindest keine Passwörter auslesen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.