Ein gravierendes Sicherheitsversäumnis hat zur Offenlegung von unverschlüsselten Passwörtern und sensiblen Nutzerdaten von 1,8 Millionen Personen geführt. Die Ursache: falsch konfigurierte Firebase-Instanzen. Entdeckt wurde das Leck von den Cybersicherheitsforschern bei Website Planet. Die frei zugänglichen Daten umfassten Benutzernamen, E-Mail-Adressen, Telefonnummern, Rechnungsinformationen sowie Klartext-Passwörter. Gespeichert waren sie auf offenen Firebase Realtime-Datenbanken, die von über 900 mobilen Anwendungen genutzt wurden – überwiegend Android-Apps, viele davon mit Millionen Downloads. Die betroffenen Apps deckten ein breites Spektrum ab, von Fitness über Finanzen. Die Forscher informierten Google und die jeweiligen Entwickler, doch viele Instanzen waren zum Zeitpunkt der Veröffentlichung weiterhin ungesichert. Firebase, im Besitz von Google, wird breit für Backend-Entwicklung verwendet und seine Standardkonfigurationen standen schon früher im Zentrum ähnlicher Vorfälle.
Analyse unserer Experten:
Im Jahr 2025 unverschlüsselte Passwörter in öffentlich zugänglichen Cloud-Datenbanken zu speichern, ist nicht nur veraltet. Es ist fahrlässig. Dieses Datenleck war kein Ergebnis eines Zero-Day-Exploits oder einer ausgeklügelten Attacke. Es entstand, weil grundlegende Sicherheitspraktiken in Hunderten von Apps schlicht ignoriert wurden – darunter Anwendungen mit Millionen von Nutzern. Die Verantwortung liegt sowohl bei nachlässigen Entwicklern als auch bei Googles Firebase-Plattform, die unsichere Bereitstellungen weiterhin standardmäßig zulässt. Wenn Cloud-Tools für Angreifer derart zugänglich bleiben, sollte man aufhören, es Innovation zu nennen – und anfangen, es haftungspflichtige Technik zu nennen.
Zum vollständigen Artikel.
