Více než 4 000 aplikací pro Android, které používají databáze Firebase hostované společností Google, „nevědomky“ unikají citlivé informace o jejich uživatelích, včetně jejich e-mailových adres, uživatelských jmen, hesel, telefonních čísel, úplných jmen, chatových zpráv a údajů o poloze.

Téměř 5 % mobilních aplikací využívajících Google Firebase k ukládání uživatelských dat není řádně zabezpečeno, což umožňuje přístup k databázím obsahujícím osobní informace uživatelů, přístupové tokeny a další data bez hesla nebo jiné autentizace.

Vzhledem k tomu, že dotyčné zranitelné aplikace – většinou zahrnující hry, vzdělávání, zábavu a obchodní kategorie nainstalované uživateli Androidu, je velká šance, že nějaká aplikace bude zranitelná.

Vzhledem k tomu, že Firebase je nástroj pro více platforem, nesprávné konfigurace pravděpodobně ovlivní iOS a webové aplikace.

Celý obsah databáze zahrnující 4 282 aplikací zahrnoval:

E-mailové adresy: 7 000 000+

Uživatelská jména: 4 400 000+

Hesla: 1 000 000+

Telefonní čísla: 5 300 000+

Úplná jména: 18 300 000+

Chatovací zprávy: 6 800 000+

GPS data: 6 200 000+

IP adresy: 156 000+

Ulice: 560 000+

Kromě 155 066 aplikací, které mají veřejně exponované databáze, je dále 9 014 aplikací s povolením zápisu, což potenciálně umožňuje útočníkovi vkládat škodlivá data a poškodit databázi a dokonce šířit malware.

Další komplikací je indexování adres databáze Firebase pomocí vyhledávačů, jako je Bing, který vystavuje zranitelné koncové body pro kohokoli na internetu.

Poté, co byla společnost Google informována o zjištěních zranitelnostech 22. dubna, vyhledávací gigant oznámil, že oslovuje vývojáře, aby problémy opravili.