2023年レポート:Bubble.ioで作成されたトップ100アプリのセキュリティの包括的な概要

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇯🇵 Japanesse

「テクノロジー産業はますます成長し進化し続ける中で、データプライバシーに関するセキュリティと規制がますます重要になっています。これは特に、ノーコードプラットフォームBubble.ioで作成されたアプリケーションに当てはまり、その人気がますます高まっています。しかし、人気の上昇にはサイバー攻撃のリスクも増加しています。使いやすさにもかかわらず、Bubble.ioアプリケーションは常に十分にセキュリティが確保されているわけではありません。これは主に、ベストプラクティスに関する情報の不足と、既存および過去の脆弱性や漏洩に関する公開情報の不足に起因しています。この問題に対処するために, Flusk は、Bubble.ioプラットフォームで作成されたトップ100のアプリケーションのセキュリティを分析したレポートを実施しました。Fluskの主な目標は、Bubbleエコシステムのセキュリティと信頼性を向上させることです。私たちはBubbleエコシステム内の主要なプレイヤーに対して30以上のセキュリティ監査を実施しましたが、私たちが見つけたことは、エコシステムがよりセキュアにするための教育とツールが必要であるということです。私たちの新しいツール、Flusk Vaultは、Bubbleアプリケーションに対して自動的なセキュリティ監査を実行します。あなたは今すぐサインアップして試してみることができます。詳細は以下のリンクをご覧ください このリンク.‍

2022年の状況を見ることで、このレポートはBubble.ioエコシステムのセキュリティについての概要を提供し、現在のセキュリティ対策、潜在的な脆弱性、および是正技術についてカバーし、安全で規範遵守された、プライバシー重視のエコシステムの形成に寄与することを願っています。

この独立した調査は、セキュリティに関心を持つ用心深く献身的なBubbleの開発者グループによって実施されており、Bubbleチームとは関係ありません。

レポートの方法論

このレポートでは、特定の脆弱性基準に基づいてBubble.ioで構築されたトップ100の最も人気のあるアプリケーションのセキュリティを評価するための方法論を採用しました。


Bubble.ioで作られたトップ100アプリを見つける


最初に、さまざまなソースからBubbleアプリのリストを収集しました:

  • テクノロジールックアップウェブサイト、具体的にはBuiltWithとWappalyzer
  • Bubble.ioエージェンシーディレクトリからのすべてのアプリ
  • Bubbleのフォーラムの「App of the day」セクションのすべてのアプリ
  • 2018年から2022年の間にBubbleフォーラムでBubbleアプリにリダイレクトするすべてのリンク
  • その他の小規模なソースとして、プラグインのエディターがプラグインのインストールアプリのURLを共有したものも含まれます。

次に、以下の方法がTop 100内のアプリをソートするために使用されました:

  • すべての廃止予定のアプリ、非-Bubbleアプリ、またはBubble自体が作成したアプリを削除します。
  • 「無料」または「エージェンシー」プランを持つすべてのアプリを削除します。
  • 着陸ページ専用のアプリやアカウントの機能がないアプリなど、非機密のアプリをすべて削除します。
  • 公開アプリの場合、SimilarWebからトラフィック統計を取得します。
  • 内部利用のために作成されたアプリについて、企業の規模や価値などのメトリクスを評価しました。

内部利用とは、会社などの限られた人々(会社など)だけが利用することを意味し、メンバーシップやアクセスを購入することができないアプリのことを指します。

→ さらなる分類の結果、私たちのトップ100のアプリのうち87のアプリが公共の利用を目的とし、13のアプリが内部専用のものでした。

考慮された脆弱性ポイント


私たちはTop 100アプリのリストでテストを実施し、以下に挙げるセキュリティポイントを分析しました:


  • データAPIの漏洩による機密データの公開
  • 誤って設定されたプライバシールールおよびすべてのページでの検索/データの取得による機密データの公開
  • 制限されたまたは非公開のページへの不正アクセス(管理者ダッシュボードなど)
  • 制限されたワークフローの操作(ユーザーの管理者としての作成、データベース上の機密な操作に関連するアクティビティなど)
  • 第三者のサービスやAPIへの不正アクセス
  • ログインワークフローでデータをクリア
  • 一時的なパスワードの脆弱性
  • APIエンドポイントへの不正アクセス


テストは手動と内部監査ツールの助けを借りて複雑な操作(URLパラメータのブルートフォース攻撃、XHRスクリッピングなど)の両方で実施されました。高度なセキュリティエクスプロイトは、そのような大規模なデータセットで実行する複雑さのために故意に省略されました(Key-to-Path、JSONパーシング、Cookieエクスプロイトなど)。このレポートには、50件未満のエントリを持つデータベースの漏洩や軽微な侵害行為など、細かい脆弱性は含まれていません。

倫理に関する注意

→ レポートに含まれているアプリケーションのすべての関係者は、レポートの公開前に脆弱性について通知されました。特定された脆弱性に関する正確な情報を提供し、これらの脆弱性の対処に無償のサポートを提供しました。

→ 脆弱性のデータはローカルシステムにダウンロードされたり保存されたりせず、Google Vertex AIを利用して機密データを検出するための当社のツールは、キー分析に依存するように設定されており、その値は公開されていません。

→ どのウェブサイトからも、侵害されたアクセスや制限されているかもしれないアクションによって行動はされませんでした。代わりに、潜在的な侵害されたワークフローのトリガーによって引き起こされるアクションの感度を判別するためにアプリのソースコードのみを使用しました。

結果


この研究の結果は懸念材料であり、報告書によればトップ100のアプリの89%に少なくとも1つのセキュリティの脆弱性が存在していたことが明らかになりました。


トップ100のアプリの89%には少なくとも1つのセンシティブなセキュリティの脆弱性が見られました。‍


機密データの漏洩


最も懸念される結果は、機密データの漏洩に関して見つかりました。審査されたトップ100のアプリのうち、少なくとも76が脆弱性を示していました。合計で、アメリカの社会保障番号、パスポート、IDカードのスキャン、プライベートの会議ビデオ記録など、2,300,000以上の個人情報を特定できました。

トップ100のBubble.ioアプリの中で機密データの漏洩があったアプリの一部。機密情報またはセキュアとして識別できなかったデータは「不明」とされます。

私たちは、法的規制(GDPR、CPRA、またはデータ保護法1998など)に準拠する情報、内部のプライベートドキュメント、またはユーザーのプライベート情報(メールアドレスを除く)としての機密データを指します。‍


制限されたアクションとアクセスの侵害


トップ100のアプリの分析から、そのうち53のアプリに制限されたアクセスの脆弱性があり、61のアプリに制限されたアクションが侵害されていました。


トップ100のBubble.ioアプリの中でアクションが侵害されたアプリの一部。機密情報または安全であると分類できなかったアクションは「不明」とされます。

このスクリーンショットは、公開/ライブデータベース上での機密なアクションを備えた侵害された管理ダッシュボードの例を示しています。

サードパーティまたはAPIの脆弱性


トップ100のアプリのうち、18のアプリが脆弱性を示しました。

トップ100のBubble.ioアプリの中で、サードパーティまたはAPIの脆弱性を持つアプリの一部。機密情報または安全であると確認できなかったサービス、または潜在的なアクセスを確認できなかったサービスは「不明」とされます。

このスクリーンショットは、機密なコンテンツとアクションへの完全な管理者アクセスを持つ、侵害されたサードパーティサービスの例を示しています。

関与する開発関係者

脆弱性を示した89のアプリのうち、75のアプリの開発元を特定することができました。

  • 独立した起業家やビジネスが作成したアプリの約92%が脆弱性を持っていました。
  • Bubbleのエージェンシーが作成したアプリの約65%が脆弱性を持っていました。
  • フリーランサーまたは独立した開発者が作成したアプリの約82%が脆弱性を持っていました。


結論


Bubble.ioはデータセキュリティのために強力な保護策を導入している安全なプラットフォームです。しかし、その普及度と直感的なユーザーインターフェースは、サイバーセキュリティについて包括的な理解がない可能性のある多くのユーザーにアクセス可能であり、データプライバシー規制の最新の知識を持たない可能性があり、最終ユーザーにリスクをもたらす可能性があります。この現象は、セキュリティの実践に関する適切な情報の欠如と、以前のまたは既存の脆弱性に関する公開レポートの不足によってさらに増幅されるようです。また、これをNo-Codeツールの指数関数的な成長、特にBubbleの成長と関連づける必要があります。Bubble.ioで作成されるアプリケーションはますます増加しており、統計的にはセキュリティホールを持つアプリケーションも増加しています。このエコシステムを安全に保ち、信頼性を失わないために、できるだけ早く対策を取ることが必要です。

                                                                2013年から2022年までのBubble.ioで実行されているアプリの数の成長曲線。出典:BuiltWith。


したがって、個人の起業家、フリーランサー、エージェンシーを含むさまざまな関係者に対して意識を高めることが急務です。

安全なBubbleアプリケーションの構築。

Bubbleアプリケーションの手動監査を30件以上実施した後、チームはプロセスを迅速化するための革新的な内部アプリケーションを開発しました。エージェンシーのオーナーとの協議を通じて、高性能なセキュリティツールが品質保証手続きを向上させ、安全なアプリケーションの提供を容易にする可能性が示されました。その結果、私たちは15以上のエージェンシーと50以上のBubbleフリーランサーと協力して、手動の取り組みを再現する自動化されたソリューションを作成しました。最近、 Flusk Vault, という最先端のツールを導入しました。これはBubbleの開発者、エージェンシー、ビジネスオーナーが安全なアプリケーションをデータ侵害や侵害されたアクセスポイントから解放して展開するのに役立つものです。

このスクリーンショットは、テストアプリケーション上でのFlusk Vaultの具体的な例を示しています。

この研究をお読みいただき、Bubbleエコシステムにおける重要なトピックに関心をお持ちいただき、Flusk Vaultライセンスの初回購入に10%の割引を提供いたします。こちらのリンクから登録できます tこのリンク  割引コードの適用方法について。

また、Bubbleのセキュリティに関する無料の本をリリースしました。これにより、安全なアプリケーションを構築する方法を学ぶことができます。具体的な例を80ページ掲載しており、Bubbleと15人のエキスパートBubble開発者によって審査されています: 🔗 Bubbleセキュリティチートシート2023


バブル専門家によるレビュー

この報告書を認知されたバブル専門家に提出し、彼らが結果についてどのように考え、彼らの仕事がバブルのセキュリティをどのように向上させるかを知るためです。

Petter Amlie profile picture

Petter Amlie

Petter はBubbleエコシステムでよく知られ、認識されている専門家です。彼は...の著者です Bubbleセキュリティの究極のガイドBubbleパフォーマンスの究極のガイド. 彼は製品ドキュメンテーションにおいてもBubbleと協力しています。

この研究の結果についてどう思いますか?

“確かに警戒すべきですが、驚くことはありません。Bubbleは強力なセキュリティを提供していますが、他の部分のプラットフォームの使いやすさと比較して、すべての潜在的な脆弱性に対処するアプリを設定することはまだかなり難しいです。ほとんどの脆弱性は無視されていないが、開発者はそれが存在することを知らないことが挑戦です。コミュニティでこれを優先的な話題にすることは重要です。”

この結果の主要な原因は何だと思いますか?

“いくつかの原因があると思います。おそらく最も重要なのは、Bubbleがサイバーセキュリティの経験がない観客を引き寄せており、それが表れていることに同意します。彼らはデザインやワークフローの論理にも経験がないかもしれませんが、即座のWYSIWYGの結果が彼らを学習させることを強制します。セキュリティの脆弱性はほとんど見えず、誰かが教えてくれない限り、それに気づくことは非常に難しいです。第二に、多くの企業にとってセキュリティは低い優先度です。ほとんどの企業は侵害された後に実践を変更しますので、これはBubbleに特有のものではありません。セキュリティに優先順位をつけることは、スタートアップを迅速に市場に出すことを希望している場合、セキュリティについて学ぶことは克服が難しいと感じることです。また、多くのユーザーが学習中にアプリを”

Bubbleエコシステムのセキュリティをより強化するために効果的な解決策は何だと思いますか?

“"意識がもちろん最優先です。大規模なハッカーグループがBubbleについてまだあまり認識していないとは思いませんが、確かに既知の脆弱性を悪用するボットネットワークが設立されるでしょう。その際、何千ものアプリが一度に公開され、どれだけのユーザーデータが流出するかわかりません。Bubbleの文書は改善し続ける必要があり、新しいユーザーやカジュアルなBubbleユーザーをセキュリティのベストプラクティスに導入するために、書籍や監査プラットフォームなどの外部リソースだけでは不十分です。Bubbleは意識を高め、開発者が製品開発プロセスの早い段階でベストプラクティスを理解するのを支援する必要があります。”

Bubbleエコシステムのセキュリティにどのように貢献していますか?

“おそらく最も明白な貢献は、私の本と、おそらくマニュアルに取り組んでいる仕事です。セキュリティは、マニュアルの開発段階ではまだその段階に達していないかもしれませんが、その仕事の大部分を占めるでしょう。私はコーチングセッションとトレーニング/ブートキャンプを行っていますが、本、記事、およびマニュアルを通じて多くの意義あるユーザーに到達しています。”

外部セキュリティソリューション(nocode:nohack、ncScale、Flusk)がエコシステムに適していると思いますか?なぜですか?

“確かにそうです。セキュリティは構造と繰り返しの作業です:チェックと再チェックです。Fluskのようなシステムが、展開の前に潜在的な脆弱性の80%を明らかにできるとしましょう。もちろん、これは0%よりもはるかに優れており、さらに重要なことに、毎回行われます。クラックを通過する20%の特殊なケースがあるとしても、それでも大幅な改善だと言えるでしょう。私はこのポイントを説明するためにこれらの数字を創作していますが、はい:ソフトウェアが人間が管理するチェックリストを置き換えることができるなら、人為的なエラー率を確実に低減させます。”

Bubbleを学ぶすべての人に1つの安全なヒントを提供しなければならない場合、それは何ですか?

“2つ教えます:プライバシールールを学び、クライアントサイドとサーバーサイドの違いを学びます。”

Benoit De Montecler profile picture

Benoît de Montecler

Benoîtは ncScale の共同創業者で、ノーコードを信頼性のある、安全な、保守可能なものにする最初のツールです。

この調査結果についてどう思いますか?

“これらの結果は1年で悪化しているため、懸念されています。アプリケーションの数は2倍以上に増加し、数千人の新しいバブラーが到着し、最初のアプリケーションのセキュリティを見落としています。新しい技術のように、徐々にその弱点を発見しています。これは私を心配させません。なぜなら、これはコードの場合と同じように進行しているからです。コードベースのアプリケーションにも同じくらいの欠陥がありますが、開発者はそれらを監視するのに優れています。FluskやncScaleなどの新しいツールは、事態が正しい方向に向かっていることを示しています。
一般的な信念とは対照的に、優れたノーコーダーは優れた開発者と同じくらい珍しいです。
今では、企業がノーコードを習得することは競争上の利点となっています。競合他社より10倍速く開発することは、品質の犠牲にはなってはいけません。これはこれらの新しいツールのおかげで現在可能です。”

この結果の主要な原因は何だと思いますか?

“Bubbleの新参者は、このツールを、ユーザーが脆弱性を作成するのを防ぐ他の任意のSaaSプラットフォームと同様に使用します。その許容的なアプローチのおかげで、Bubbleはカスタマイズの点で非常に強力です。これがBubbleの主要なアセットであり、主要な弱点となっています。”

Bubbleエコシステムのセキュリティをより向上させるために有効なソリューションは何だと思いますか?

“Bubbleはアプリをスキャンし、次のような明らかなことについて積極的であるべきです:
- 機密データが公開された場合の警告
- ページのリスト、データベース構造、および使用されているサードパーティAPIのリストなど、不要な公開要素を非公開にする。
- Bubbleのセキュリティツールを強調すると、ますますその数が増えています。これは良い兆候です Tinkso から始まり、 ncScale 、最後に Flusk と続きました!これは正しい方向に進んでおり、他のツールも登場することを期待しています!”

ncScale はBubbleエコシステムおよびノーコード業界全般のセキュリティと信頼性にどのように貢献していますか?

“セキュリティプラグイン 'nocodenohack' の機能を ncScale に再統合し、Bubbleログに警告を発信しました。これにより、ユーザーによる管理ページへの不正アクセスなど、リアルタイムでの不正行為を監視し、ユーザーをブロックするエラーを検出したり、機能の使用に異常なピークを検出したりできます。”

Bubbleを学んでいるすべての人に1つのセキュリティアドバイスをする必要があるとしたら、それは何ですか?

“Bubbleアプリをセキュリティで守るために覚えておくべきことがあるとすれば、それはデータベースを設計し、プライバシールールを同時に設定する必要があるということです!両方を並行して行わないと、セキュリティが難しくなり、エラーのリスクが非常に高くなります”

リソース

即時の解決策には、知名度の高いアクターからのリソースなどが含まれます:

このレポートは、 Flusk によって2022年12月に実施された調査に基づいています。

この記事の内容を使用または再掲載したい場合は、許可のためにinquiries@flusk.euにご連絡ください。