日前，据安全网站SC Media报道，Google 旗下的Firebase平台被安全研究人员测试发现存在超过900个配置错误，使得近 1900 万个密码以明文方式存储，这可能会导致近1.25亿用户记录存在泄露隐患。

据了解，Firebase是Google公司在2014年收购的一家实时后端数据库公司，旨在帮助开发者快速创建Web 端和移动端应用。根据其官方数据披露，目前Firebase已经被超过150万个应用系统所采用。

研究人员共扫描了 500 多万个相关应用域名，发现其中有 916 个网站（应用）并没有启用安全规则，或者安全规则设置错误，这导致了访问者可以轻松读取访问数据库信息。这是一个非常严重的安全隐患，可能会导致超过1.25亿条用户信息被泄露，包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单等敏感信息。更严重的是，在本次测试所发现的20185831个密码中，有98%都是以明文方式存储的，没有采取任何的加密措施，可能导致更深层次的系统被攻击。

Keeper Security公司的安全架构副总裁Patrick Tiquet表示，如今针对云基础设施的成功攻击大多都源于配置错误。虽然Firebase不断升级和改进其安全措施，但本次事件显示其仍未能正确实施或监控相关组件。Tiquet提醒组织的安全管理人员，要始终确保使用安全的密钥管理解决方案，并持续进行必要的补丁和更新。此外，企业需要获得一套有效的工具来评估云上系统配置的正确性，从而提高云系统的安全性。

参考链接：

https://www.scmagazine.com/news/google-firebase-may-have-exposed-125m-records-from-misconfigurations