Firebase est un ensemble de services d’hébergement pour n’importe quel type d’application (Android, iOS, Javascript, Node.js, Java, Unity, PHP, C++ …). Il propose d’héberger en NoSQL et en temps réel des bases de données, du contenu, de l’authentification sociale (Google, Facebook, Twitter et Github), et des notifications, ou encore des services, tel que par exemple un serveur de communication temps réel. (Source : Wikipédia)

La faille, nommée HospitalGown (blouse d’hôpital), affecte plus de 2 300 bases de données Firebase non sécurisées et 3 000 applications iOS et Android qui ont exposé environ 100 millions d’enregistrements.
Cette vulnérabilité se produit lorsque le développeur d’une application omet de demander l’authentification à une base de données Firebase.

Cette vulnérabilité historique de la base de Firebase « HospitalGown » a eu un impact très critique et diverses organisations sont fortement affectées dans le monde entier.

Une très grande quantité de données sensibles ont été rendues publiques, dont des données privées sensibles, des données liées à la propriété intellectuelle, des données financières d’entreprises…
Cela a conduit à la divulgation des données sensibles provenant de banques, de télécoms, de services postaux, d’entreprises de covoiturage, d’hôtels et d’établissements d’enseignement.

L’un des principaux problèmes de cette faille est qu’elle très facile à exploiter, et demande très peu d’efforts aux attaquants pour trouver des bases de données d’applications Firebase ouvertes. Une fois trouvés, les cybercriminels peuvent accéder à des millions d’enregistrements d’applications mobiles privées.

Portée de la menace

– 1 application Android sur 11 (9%) et près de la moitié des applications iOS (47%) qui se connectent à une base de données Firebase étaient vulnérables ;
– Plus de 3 000 applications divulguaient des données provenant de 2 300 serveurs non sécurisés. Sur ce nombre, 975 applications se trouvaient dans des environnements clients actifs ;
– 1 base de données Firebase sur 10 (10,34 %) est vulnérable ;
– Les applications Android vulnérables ont été téléchargées plus de 620 millions de fois ;
– Plus de 100 millions d’enregistrements (113 gigaoctets) de données ont été exposés.

Selon Appthority (qui a découvert la faille), les applications connectées à des bases de données Firebase non sécurisées ont exposé plus de 100 millions d’enregistrements de données, y compris :
– 2,6 millions de mots de passe et d’ID utilisateur en texte clair
– Plus de 4 millions d’enregistrements de santé, y compris des détails de prescription
– 25 millions d’enregistrements de position GPS
– 50 000 documents financiers, y compris les opérations bancaires, de paiement et les transactions Bitcoin.
– Plus de 4,5 millions de jetons d’utilisateur Facebook, LinkedIn, Firebase et de données d’entreprise.

Comment la vulnérabilité a-t-elle été découverte?

Une équipe de chercheurs d’Appthority a découvert la technique pour identifier les serveurs back-end non-sécurisés se connectant aux applications mobiles en début d’année 2018.
En utilisant cette technique, ils ont analysé de nombreuses applications et identifié les bases de données vers lesquelles ces applications envoyaient des données. Ils ont ainsi découvert que les bases de données Firebase constituaient un des magasins de données favoris pour les applications mobiles.

Vous pouvez télécharger le rapport d’analyse complet ici.

Nous ne pouvons que déplorer, une fois encore, ces fuites de données, et insister lourdement sur le risque aussi bien technique que juridique de stocker ses données privées de développement sur ce genre de système. La facilité a toujours un prix.

Comme le dit l’adage : si c’est pas cher, tes données tu perds.