Diachenko使用已知的Firebase的REST API发现了这些暴露的数据库，该API用于访问存储在未受保护的实例上的数据，以JSON格式检索，只需添加“/”后缀即可连接到数据库URL的json上。(e.g."https://~project_id~.firebaseio.com/.json“)

在分析的155,066个Firebase应用程序中，有11,730个已公开暴露的数据库。其中9,014个甚至包含写入权限，从而允许攻击者注入恶意数据并破坏数据库，甚至传播恶意软件。

以下是一些被公开的数据数量统计：

电子邮件地址：7,000,000+

用户名：4,400,000+

密码：1,000,000+

电话号码：5,300,000+

姓名：18,300,000+

聊天消息：6,800,000+

GPS数据：6,200,000+

IP地址：156,000+

街道地址：560,000+

而且基于游戏的应用程序比其他类别的应用程序更容易受到攻击。

让事情进一步恶化的是，搜索引擎如Bing对Firebase数据库url的索引，让互联网上的任何人暴露了易受攻击的薄弱点。但是谷歌搜索却不会返回任何结果。

谷歌在4月22日被告知这一发现后，这家搜索巨头表示，它正在联系受影响的开发者来修复这些问题。

这并不是Firebase数据库第一次泄露个人信息。移动安全公司Appthority的研究人员在两年前发现了一个类似案例，导致1亿数据记录被曝光。在不进行任何身份验证的情况下公开数据库是对攻击者的公开邀请。

因此，建议应用程序开发人员遵守Firebase数据库规则，以保护数据并防止未经授权的访问。

影响人群

使用谷歌Firebase存储用户

修复建议

对于用户来说，要坚持使用可信任的应用程序，并对与应用程序共享的信息保持谨慎。

对于开发者来说，要遵守开发规范跟三方库的使用规范，及时更新到最新的版本，防止该问题造成更大的损失。

装有thunderbolt的电脑会受到ThunderSpy的影响

事件信息

近期，一名网络安全研究人员发现了7个新的无法修补的硬件漏洞，这些漏洞会影响到过去9年销售的所有带有Thunderbolt或与Thunderbolt兼容的USB-C端口的台式电脑和笔记本电脑。

这些漏洞被统称为“ThunderSpy”，可以在9个恶意攻击场景中被利用，主要是窃取数据或读写锁定或休眠计算机的所有系统内存，即使在磁盘加密保护的情况下也同样受影响。

埃因霍温科技大学(Eindhoven University of Technology)的比约恩•鲁滕伯格(Bjorn Ruytenberg)表示，ThunderSpy攻击“可能需要用螺丝刀打开目标笔记本电脑的外壳，(但)它不会留下入侵的痕迹，而且可以在几分钟内完成。”，也就是说该漏洞与网络活动或任何相关组件无关，因此无法远程利用。

“即使你在短暂离开时锁定或暂停电脑，即使你的系统管理员设置了安全启动、强大的BIOS和操作系统帐户密码，并启用了完整的磁盘加密，Thunderspy也能工作”，研究人员说。

针对Thunderbolt端口的直接内存访问(DMA)攻击并不是新出现的，而且之前已经在ThunderClap攻击中进行了演示。基于dma的攻击允许攻击者仅通过将恶意热插拔设备(例如外部网卡、鼠标、键盘、打印机或存储)插入Thunderbolt端口或最新的USB-C端口，就能在几秒钟内攻破目标计算机。