当开发人员无法对支持其移动应用程序的数据库或云实例执行身份验证时,这里会发生一种最简单且最具破坏性的安全事件。这种事件已经在未受保护的Amazon S3存储桶发生多次,导致敏感数据遭暴露,例如Booz Allen Hamilton、Verizon和五角大楼遭遇的泄漏事件。
移动应用安全公司Appthority公司(现在属于赛门铁克公司)的研究表明,这种问题并不仅限于错误配置的Amazon基础设施。该报告还详细介绍了大量遭暴露的谷歌Firebase数据库,这些数据库用于支持移动应用并包含详细用户信息。
Appthority公司共发现了2300个不安全的Firebase实例,总共暴露了超过1亿个用户记录。这包括高度敏感的数据,例如个人身份信息、健康记录和260万个明文密码。如果这些数据被黑客获取,对受影响的公司来说将非常具有破坏性,他们将面临声誉受损和潜在的监管罚款。
不安全的Firebase和AWS之间的区别
Amazon S3存储桶暴露的数据与这些不安全的Firebase实例之间的主要区别在于,在默认情况下Amazon是安全的,数据曝光是源于意外错误配置,而Firebase在首次安装时就是不安全的,而且,它需要开发人员保护单个表和行。
尽管这并不复杂,并且,谷歌提供了有关如何安全配置Firebase的详细文档,但事实表明开发人员不一定接受过安全培训,或者没有在开发生命周期中没有时间部署正确安全控制。在大多数开发中都存在这种问题,而不仅仅是移动应用程序。但是,在移动应用程序的情况下,这更容易导致敏感数据暴露,因为开发人员使用的是基于云的基础架构。
未受保护的数据很容易被黑客发现。Shodanthat等工具可索引整个互联网,并允许用户搜索特定的关键术语,让任何知道正确搜索术语的人可识别暴露的实例。由于数据暴露给所有人而不需要对数据库进行身份验证,任何瞄准此类漏洞的黑客都可以访问数据,而无需太多技术知识。
这些不安全的Firebase数据库表明,即使在当前网络安全意识提高的时代,简单的错误也可能暴露敏感数据。虽然我们不断发现新的复杂漏洞,但这些漏洞在现实世界中通常无法轻易被利用,因为这需要大量的工作或技术知识。
但是,不安全的Firebase实例等漏洞却很容易被利用,因此更有可能导致受影响企业泄漏数据。这表明企业需要投资于安全开发技能,并在开发生命周期中为开发人员留出时间以确保在数据暴露之前识别和修复这些类型的漏洞,这可最大限度地降低意外数据泄露的风险。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Senior penetration tester at First Base Technologies where he specialises in Web application security.
翻译
相关推荐
-
真正的甲骨文云战略vs. AWS和Azure
如今,甲骨文云战略正遭受重创。原产品开发主管Thomas Kurian离开,加盟谷歌云计算部门,再加上甲骨文混 […]
-
FaunaDB分布式云数据库瞄准事务性NoSQL
作为云计算平台领导者,近日AWS在其NoSQL软件-DynamoDB中增加了对事务处理工作负载的支持,从而进一 […]
-
Amazon RDS on VMware扩展内部云数据库
VMware和AWS公司围绕混合云深化了合作伙伴关系,并推出产品使VMware客户可在自己数据中心内访问亚马逊 […]
-
新配置模式改变Azure Cosmos DB功能、定价
微软继续添加Azure Cosmos DB功能,包括配置数据库吞吐量的功能–为多模式分布式云数据库 […]