Publicly exposed Firebase Database

Base de datos de Firebase expuesta públicamente

Risk: high

Descripción

Firebase es una plataforma de desarrollo de aplicaciones móviles y web que proporciona diversas herramientas y servicios a los desarrolladores, incluida una base de datos en tiempo real. Si una base de datos de Firebase se expone públicamente, significa que cualquier persona puede acceder y manipular los datos almacenados en la base de datos sin ningún tipo de autenticación o autorización.

El impacto de seguridad de exponer públicamente una base de datos de Firebase puede ser grave, ya que puede provocar los siguientes riesgos de seguridad:

• Acceso no autorizado: Cualquiera puede acceder a los datos de la base de datos sin autenticación o autorización, lo que significa que la información confidencial almacenada puede ser consultada por usuarios no autorizados.
• Manipulación de datos: Los atacantes pueden modificar, agregar o eliminar datos en la base de datos, lo que puede provocar la pérdida de datos o datos inexactos, resultando en graves consecuencias para la aplicación o empresa.
• Divulgación de información: Los atacantes pueden acceder a información confidencial, como contraseñas, información personal, datos financieros y otra información confidencial que puede estar almacenada en la base de datos.
• Ataques maliciosos: Los atacantes pueden lanzar varios ataques maliciosos, como ataques de inyección, cross-site scripting (XSS) y otros tipos de ataques para explotar las vulnerabilidades en la aplicación que está conectada a la base de datos de Firebase.
• Pérdida de reputación: Si se expone información confidencial, puede provocar una pérdida de confianza y credibilidad entre los clientes, lo que puede tener un impacto significativo en la reputación de la empresa.

Para verificar si una base de datos de Firebase está expuesta públicamente, puede utilizar el siguiente comando curl:

Bash

curl -X GET 'https://<project-id>.firebaseio.com/.json'

Reemplace <project-id> con el identificador del proyecto de Firebase que desea comprobar. Este comando intentará recuperar el nodo raíz de la base de datos de Firebase en formato JSON.

Si la base de datos de Firebase está expuesta públicamente, debería poder recuperar los datos sin ninguna autenticación o autorización.

Si la base de datos es segura y está configurada correctamente, recibirá un mensaje de error que indica que no está autorizado para acceder a los datos.

Recomendación

Para hacer que una base de datos de Firebase sea privada, puede seguir estos pasos técnicos:

• Habilitar Firebase Authentication: Firebase Authentication le permite autenticar a los usuarios y controlar el acceso a su base de datos. Puede utilizar Firebase Authentication para autenticar a los usuarios mediante varios proveedores, como correo electrónico y contraseña, Google, Facebook, etc.

• Configurar Firebase Security Rules: Firebase Security Rules le permiten definir cómo se debe acceder a sus datos y qué usuarios pueden leer o escribir en la base de datos. Puede definir reglas basadas en la autenticación del usuario y rutas de datos específicas en la base de datos.

Enlaces

• Firebase Security Rules
• 10 Firebase Realtime Database Rule Templates

Estándares

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_3
  • REQ_6_4
  • REQ_7_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_3_4
  • CC_4_1
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5