合計1億件以上の個人情報がFirebaseの脆弱性によって公開状態に

by Alex Iby

Googleが提供しているモバイルプラットフォーム「Firebase」に格納されたデータを適切に保護できないという脆弱性があり、利用している企業の62％でデータベースに格納されているモバイルアプリの関連データが公開状態になっていることが明らかになりました。

62% of Enterprises Exposed to Sensitive Data Loss via Firebase Vulnerability - Appthority
https://www.appthority.com/company/press/press-releases/62-of-enterprises-exposed-to-sensitive-data-loss-via-firebase-vulnerability/

Q2 2018 Mobile Threat Report Download | Firebase Vulnerability: Exposing Sensitive Data via Thousands of Mobile Apps
http://info.appthority.com/-q2-2018-mtr-download-Firebase-vulnerability

セキュリティ会社のAppthorityによると、この脆弱性はFirebaseデータベースの認証が適切に行われていないときに顕在化するもの。2017年第2四半期に見つかった、アプリ開発者によるデータ格納の保護が不完全なときに情報が露出してしまう「HospitalGown」と呼ばれる脆弱性の変種であると考えられています。

情報を漏らしている「脆弱なアプリ」を抱える企業は少なくとも利用者の62％に上るとみられており、この大量の「脆弱なアプリ」が扱っていたデータが公開状態に陥っています。その内容はユーザーIDと平文のパスワード260万件、HIPAAで定められた「保護されるべき健康情報(PHI)」や送受信したメッセージ400万件、GPSの位置情報2500万件、銀行やビットコインの決済情報5万件、Facebook・LinkedIn・Firebase・その他企業によるユーザートークン類450万件など、すべて合わせると1億件以上。

Appthorityのディレクターであるセス・ハーディ氏は「このFirebaseの脆弱性は膨大な量の機密情報を公開してしまうような重大かつ危機的なものです。多くの『脆弱なアプリ』があり、多種多様なデータが公開されてしまっているという事実は、企業がアプリの開発者に頼れず、アプリストアによるチェックや単純な『マルウェアスキャン』でも対策できないということを示します。GDPRやHIPAA、PCIといったデータ保護の規則を守るために、今後はこの種の脆弱性を見つけられるよう、深いアプリ分析に投資する必要があるでしょう」と述べています。