900 साइटें, 12.5 करोड़ अकाउंट, 1 भेद्यता

 (env.fail)
3 पॉइंट द्वारा GN⁺ 2024-03-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें

पहला प्रयास

  • Python में लिखा गया एक बेसिक स्कैनर Firebase configuration variables को चेक करता था.
  • मेमोरी खपत की समस्या के कारण यह एक घंटे के भीतर काम करना बंद कर देता था.

दूसरा प्रयास

  • Go में दोबारा लिखा गया स्कैनर में memory leak नहीं था.
  • 50 लाख से अधिक डोमेन स्कैन करने में उम्मीद से ज़्यादा समय लगा.

सभी डोमेन का मैन्युअल सत्यापन

  • 5.5 लाख लाइनों वाली टेक्स्ट फ़ाइल की हर एंट्री को मैन्युअली जांचा गया.
  • 136 साइटें और 62 लाख रिकॉर्ड की पुष्टि हुई, लेकिन यह स्पष्ट हुआ कि automated method की ज़रूरत है.

Catalyst

  • संभावित रूप से प्रभावित साइटों की सूची को Catalyst नाम के सहायक स्कैनर से जांचा गया.
  • साइट या .js bundle में common Firebase collection के लिए read access को अपने आप सत्यापित किया गया.
  • डेटा के प्रभाव का आकलन करने के लिए 100 रिकॉर्ड के sample इकट्ठा किए गए और जानकारी के प्रकार की जांच की गई.
  • परिणामों को स्टोर करने के लिए Supabase (open source Firebase competitor) चुना गया.

संख्याएँ

  • कुल रिकॉर्ड: 12,46,05,664
  • नाम: 8,42,21,169
  • ईमेल: 10,62,00,766
  • फ़ोन नंबर: 3,35,59,863
  • पासवर्ड: 2,01,85,831
  • भुगतान जानकारी: 2,74,87,924
  • ध्यान दें कि ये संख्याएँ वास्तविकता से अधिक हो सकती हैं.

प्रभावित साइटों की सूची

1. Silid LMS

  • छात्रों और शिक्षकों के लिए learning management system.
  • सबसे अधिक user records उजागर हुए, 2.7 करोड़ लोग प्रभावित.

2. ऑनलाइन जुआ नेटवर्क

  • 9 साइटों का नेटवर्क, और सभी का डिज़ाइन अलग-अलग.
  • कुछ गेम्स में जीतने की संभावना 0% तक rigged थी.
  • समस्या रिपोर्ट करने की कोशिश पर customer support ने बहलाने की कोशिश की.
  • सबसे अधिक bank account जानकारी उजागर हुई, 80 लाख.
  • सबसे अधिक plain-text passwords उजागर हुए, 1 करोड़.

3. Lead Carrot

  • cold calling के लिए online lead generator.
  • सबसे अधिक user information उजागर करने वाली शीर्ष 3 साइटों में से एक, 2.2 करोड़ लोग प्रभावित.

4. MyChefTool

  • रेस्तरां के लिए business management app और point-of-service application.
  • सबसे अधिक नाम और दूसरे सबसे अधिक ईमेल उजागर हुए, क्रमशः 1.4 करोड़ और 1.3 करोड़.

परिणाम

  • 13 दिनों में 842 ईमेल भेजे गए.
  • 85% ईमेल पहुँच गए.
  • 9% ईमेल bounce हुए.
  • 24% साइट मालिकों ने configuration error ठीक की.
  • 1% साइट मालिकों ने जवाब दिया.
  • 0.2% (2) साइट मालिकों ने bug bounty दी.

GN⁺ की राय

  • यह अध्ययन दिखाता है कि Firebase security settings की misconfiguration कितनी आसानी से हो सकती है. यह डेवलपर्स के लिए security configuration के प्रति सतर्कता बढ़ाने वाला महत्वपूर्ण उदाहरण है.
  • सुरक्षा समस्या मिलने पर साइट मालिकों की प्रतिक्रियाएँ अलग-अलग रहीं. अधिकांश ने समस्या ठीक की, लेकिन कुछ ने इसे नज़रअंदाज़ किया या उचित इनाम नहीं दिया.
  • इन security vulnerabilities को खोजने के लिए इस्तेमाल किए गए automation tools दूसरे security researchers के लिए भी उपयोगी हो सकते हैं. समान क्षमता वाले tools में OWASP ZAP, Burp Suite आदि शामिल हैं.
  • Firebase जैसे cloud services का उपयोग करते समय security settings को सही तरह समझना और लागू करना महत्वपूर्ण है. गलत configuration बड़े पैमाने पर data breach का कारण बन सकती है.
  • यह मामला Supabase जैसे open source alternatives समेत अन्य services पर विचार करते समय security features और ease of use की तुलना करने में मदद कर सकता है. Supabase PostgreSQL पर आधारित है और Firebase जैसी सुविधाएँ देता है, लेकिन open source है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-19
Hacker News राय
  • Firebase में लंबे समय तक काम कर चुके एक उपयोगकर्ता ने कहा कि security rules से जुड़ी समस्याएँ हमेशा से इस product को परेशान करती रही हैं। कई approaches आज़माने के बाद भी उन्होंने पाया कि बहुत से databases अब भी security के लिहाज़ से कमजोर हैं। इसका कारण यह है कि Firebase के security rules एक अपेक्षाकृत नए और जटिल concept हैं, और developers मौजूदा data में नया data जोड़ते समय अक्सर security rules को अपडेट नहीं करते। साथ ही, custom backend implementation न होने से बड़े पैमाने पर scanning आसान हो जाती है, और realtime database के लिए security rules लिखना कठिन है तथा यह अच्छी तरह scale नहीं करता। हालांकि automated scans अक्सर सिर्फ खुले data को ही ढूंढ़ पाते हैं, इसलिए यह समस्या जितनी लगती है उतनी बार नहीं होती। Firebase के approach में अपने आप में कोई technical समस्या नहीं है, लेकिन क्योंकि यह उन गिने-चुने backends में से एक है जो stored data और security rules पर आधारित हैं, इसलिए इसमें गलतफहमी, गलत इस्तेमाल और ऐसे issues की संभावना रहती है।
  • एक उपयोगकर्ता ने कहा कि यह स्थिति उन्हें अमेरिका की fast-food chains के hack होने की घटनाओं की याद दिलाती है।
  • एक अन्य उपयोगकर्ता ने कहा कि इस post के आखिरी हिस्से के अनुसार, ऐसी vulnerabilities वाली 75% sites अब भी data dump का इंतज़ार कर रही हैं, और यह पागलपन है। उन्होंने यह भी जोड़ा कि कभी-कभी उन्हें लगता है कि computer इस्तेमाल करने के लिए license होना चाहिए।
  • एक उपयोगकर्ता ने कहा कि सस्ता और तेज़ विकल्प चुनना इसका लगभग तय नतीजा है, और कुछ customers/users की चिंताएँ इस बातचीत से गायब हैं, जबकि उनकी personal information इसकी कीमत बनी। उन्होंने चेतावनी दी कि यहाँ सूचीबद्ध जिन कंपनियों में leadership नहीं बदली है, उनसे सावधान रहना चाहिए, क्योंकि बार-बार साबित हुआ है कि बहुत-सी कंपनियाँ अपने customers की सुरक्षा की पर्याप्त परवाह नहीं करतीं।
  • एक अन्य उपयोगकर्ता ने बुनियादी सवाल उठाया कि इस post में बताई गई ज़्यादातर apps क्या पूरी तरह static-hosted client-side JavaScript से बनी हैं, और क्या backend 100% Google-hosted Firebase config है। अगर ऐसा है, तो उन्होंने कहा कि उन्हें एहसास नहीं था कि लाखों users वाली sites में ऐसी architecture कितनी आम है।
  • एक उपयोगकर्ता ने मज़ाक किया: 900 sites, 12.5 करोड़ accounts, 1 vulnerability, 0 girlfriends.
  • एक और उपयोगकर्ता ने कहा कि वे इस स्थिति की वजह से खुश हैं कि उन्होंने बहुत पहले password manager और virtual cards अपना लिए थे। उन्होंने कहा कि ज़्यादातर लोगों को यह पता ही नहीं है कि web कितना कमजोर है और वे खुद कितने असुरक्षित हैं, जिससे internet अब और डरावना लगता है।
  • एक उपयोगकर्ता ने बताया कि उन्होंने पाया कि लगभग 500 threads वाला एक Python program समय के साथ लगातार ज़्यादा memory इस्तेमाल करने लगता है, और पूछा कि क्या इस समस्या पर कोई अतिरिक्त जानकारी या समाधान है। उन्होंने कहा कि उनका Python scraper भी सैकड़ों threads चलाता है और लगता है कि वह बहुत memory इस्तेमाल करता है।
  • एक उपयोगकर्ता ने अच्छे काम के लिए तारीफ़ की और पूछा कि वे इस निष्कर्ष पर कैसे पहुँचे कि प्रभावित users की संख्या शायद और ज़्यादा है। उन्हें शक है कि जिन कुछ sites का ज़िक्र हुआ है, जैसे gambling और Lead Carrot, वे fake account data से भरी हो सकती हैं।
  • अंत में, एक उपयोगकर्ता ने कहा कि customer support ने उन्हें हँसा दिया, उसके लिए धन्यवाद।