Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Firebase-palvelun tietokantoja avoimena Internetiin

Tietoturva Nyt!

Kyberturvallisuuskeskukseen on saapunut useita ilmoituksia pilvipalveluna toteutetun Firebase-ympäristön internetiin avoinna olevista tietokannoista. Osa julkisesti saatavilla olevista tiedoista vaikuttaa sisältävän asiakas- ja henkilötietoja.

Firebase on Googlen pilvipalveluna tarjoama sovellusalusta, jota käytetään muun muassa mobiili- ja websovelluksissa. Sovellusalusta sisältää useita eri komponentteja, joista Firebasen tietokantakomponentti (Firebase Realtime Database) on saamiemme ilmoitusten mukaan oletusarvoisesti julkisesti avoinna verkkoon. Vaikka Firebase-ympäristöä on alun perin suunniteltu käytettäväksi lähinnä tuotekehitykseen on syytä varmistaa, ettei avoimissa ympäristöissä käsitellä oikeaa asiakasdataa. Lisäksi myös kehitysympäristöön pääsy julkisesta verkosta on syytä lähtökohtaisesti estää. 

Kyberturvallisuuskeskukseen saapuneet ilmoitukset koskevat joitakin tuhansia julkisesti saatavilla olevia tietokannoissa olevia tiedostoja. Tietokantojen osoitteita on löytynyt esimerkiksi sovellusten lähdekoodista tai Internetiin jo julkaistuista listoista. Mukana on myös suomalaisia sovelluksia. Joissakin tietokannoissa voi näkyä avoimena käyttäjien henkilökohtaisia tietoja, paikkatietoja, sensorien mittausdataa tai mitä tahansa muuta sovelluksilla kerättävää tietoa. Joissakin sovelluksissa tämä voi olla perusteltua, mutta etenkin henkilötietojen osalta tämä ei ole toivottavaa.

Mikäli käytätte mobiili- tai websovelluksissanne Firebase-tietokantoja, on hyvä tarkastaa mitä tietoa sovelluksilla kerätään ja tallennetaan pilvipalveluihin. Lisäksi on syytä käydä läpi, onko pilvipalvelussa oleviin tietoihin pääsyä rajoitettu. Jos vastaavasti omistatte Firebase-tietokantaa käyttävän sovelluksen jota ette ole toteuttaneet itse, on asia syytä käydä läpi sovelluskehittäjänne kanssa, esimerkiksi tätä artikkelia hyödyntäen. 

Firebasen tietokanta tarjoaa sovelluskehittäjille rajapinnan, jonka kautta voi synkronoida dataa asiakasohjelmien (clients) ja pilven kesken. Firebasen tietokanta –komponenttia on mahdollista käyttää mm. Android, iOS, JavaScript, Java, Objective-C, Swift ja Node.js -sovellusten kanssa.

Lisää tietoa tiedon turvaamiseen Firebase:ssa löytyy alla linkatuista ohjeista.

Lisää tietoa Firebase-palvelusta löytyy mm. alla olevista linkeistä.