OpenFirebase révèle 150+ services Firebase exposés et des fuites de secrets à grande échelle
Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...