Firebase配置錯誤外洩逾1億名使用者資料

3名安全研究人員近日揭露，他們在網路上掃描配置錯誤的Firebase實例，結果找到了900個網站，它們外洩了超過1億名使用者的帳號資料，包括姓名、電子郵件、電話號碼、密碼與帳單資訊等。

關於這次大規模Firebase配置錯誤的發現，是由代號為Mrbruh、xyzeva、Logykk的3名研究人員所共同揭露。之所以會有這次大規模研究，起因是MrBruh今年1月針對數百家AI新創進行掃描，揣測這些業者可能會為了儘快推出產品而忘了實施適當的安全規則，促使MrBruh打造了腳本程式以尋找外洩的Firebase憑證，結果卻發現AI招募系統Chattr.ai的配置錯誤，使得他只要自己註冊一個Firebase帳號就能存取Chattr.ai後端的Firebase資料庫，還具備讀取及寫入的完整權限。

Chattr.ai幫美國許多連鎖餐廳尋找工讀生，包括Applebees、肯德基、Tacobell及Wendys等，MrBruh因而取得了Chattr員工、餐廳加盟店經理，以及求職者的姓名、電話號碼、電子郵件、密碼、門市地點與對話紀錄等。

HackersBait曾經分析此一配置錯誤事件，指出Chattr.ai當初被駭是因為其Firebase配置的驗證與存取控制不足所造成的。

後續mrbruh、xyzeva 與logykk等3名研究人員便決定大規模掃描那些配置錯誤的Firebase資料庫，結果有900個網站仍採用此一危險配置，外洩了1.24億筆的紀錄、8,400萬個姓名、逾1億個電子郵件信箱、3,300萬個電話號碼、逾2,000萬個密碼，以及超過2,700萬個帳單資訊。

其中，教學管理平臺Silid LMS上有2,700萬名用戶的資訊曝光，某一線上賭博網站的800萬個銀行帳戶資料以及1,000萬個明文密碼曝光。

總之，這3名研究人員隨後寄了842封郵件予受影響的網站，當中有85%成功發送，總計只有24%的網站變更了Firebase配置，只有1%回覆了電子郵件，並有兩個網站提供抓漏獎勵。