개인정보 합계 1억건이상이 Firebase 취약성에 의해 공개 상태

개인정보 합계 1억건이상이 Firebase 취약성에 의해 공개 상태

구글이 제공하는 모바일 플랫폼 「Firebase」에 격납된 데이터를 적절하게 보호할 수 없다라고 하는 취약성이 있어, 이용하는 기업 62%에서 데이터베이스에 격납된 모바일 앱 관련 데이터가 공개 상태인 것이 밝혀졌습니다.

보안 회사 Appthority에 의하면, 이 취약성은 Firebase 데이터베이스 인증이 적절하게 실시되지 않을 때에 현재화한다고 합니다. 2017년 2사분기에 찾은 앱 개발자에 의한 데이터 격납 보호가 불완전할 때에 정보가 노출해버리는 「HospitalGown」이라고 불리는 취약성의 변종이다라고 생각되었습니다.

정보를 우출하는 「취약한 앱」을 안는 기업은 적어도 이용자 62%까지 오른다고 보여져, 이 대량인 「취약한 앱」이 다룬 데이터가 공개 상태가 되어있습니다. 그 내용은 사용자 ID와 비밀번호 260만건, HIPAA로 정해진 「보호되어야 할 건강정보(PHI)」이나 송수신한 메시지 400만건, GPS 위치 정보 2500만건, 은행이나 비트코인 결제 정보 5만건, Facebook·LinkedIn·Firebase·기타 기업에 의한 사용자 토큰류 450만건 등, 모두 합치면 1억건이상입니다.

Appthority 디렉터인 Seth Hardy씨는 「Firebase 취약성은 방대한 양의 기밀정보를 공개해버리는 것은 중대하고 위기적인 것입니다. 많은 『취약한 앱』이 있어, 다종다양한 데이터가 공개되어버린 사실은, 기업이 앱 개발자에게 의지할 수 없고, 앱 스토어에 의한 확인이나 단순한 『말웨어스캔』으로도 대책할 수 없는 것을 가리킵니다. GDPR나 HIPAA, PCI 등, 데이터 보호 규칙을 지키기 위해서, 앞으로는 이러한 취약성을 찾을 수 있도록, 깊은 앱 분석에 투자할 필요가 있습니다」라고 말했습니다.