Home

>

Blog

>

Reports

>

Verslag 2023: Een uitgebreid overzicht van de beveiliging van de top 100 apps gemaakt op Bubble.io

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇳🇱 Dutch

Terwijl de technologie-industrie blijft groeien en evolueren, worden beveiliging en regelgeving rond gegevensprivacy steeds belangrijker. Dit geldt met name voor applicaties die worden gemaakt op het no-code platform Bubble.io, dat steeds populairder wordt. Echter, de toename in populariteit gaat ook gepaard met een verhoogd risico op cyberaanvallen. Ondanks het gebruiksgemak zijn Bubble.io apps niet altijd goed beveiligd. Dit komt door twee belangrijke factoren: gebrek aan informatie over best practices en geen openbare informatie over bestaande en vorige kwetsbaarheden/lekken.Om dit probleem aan te pakken, heeft Flusk een rapport opgesteld waarin de beveiliging van de top 100 apps die op het Bubble.io platform zijn gemaakt, wordt geanalyseerd. Ons belangrijkste doel bij Flusk is het verbeteren van de beveiliging en betrouwbaarheid van het Bubble ecosysteem. We hebben meer dan 30 beveiligingsaudits uitgevoerd bij de belangrijkste spelers in de Bubble-ruimte, en wat we hebben ontdekt is dat het ecosysteem meer educatie en tools nodig heeft om het veiliger te maken. Onze nieuwe tool, Flusk Vault, voert geautomatiseerde beveiligingsaudits uit op Bubble-applicaties. Je kunt je nu aanmelden en het proberen door te volgen deze link.‍

Door naar de situatie in 2022 te kijken, biedt dit rapport een overzicht van de beveiliging in het Bubble.io-ecosysteem, waarbij de huidige beveiligingsmaatregelen, mogelijke kwetsbaarheden en remediëringstechnieken aan bod komen. Dit rapport hoopt bij te dragen aan een veilig, compliant en privacygericht ecosysteem.

Dit onafhankelijke onderzoek wordt uitgevoerd door een groep waakzame en toegewijde Bubble-ontwikkelaars met een sterke interesse in beveiliging en is niet verbonden met het Bubble-team.

Rapport methodologie

Voor dit rapport hebben we een methodologie gevolgd die de beveiliging van de top 100 meest populaire applicaties gebouwd op Bubble.io heeft geëvalueerd op basis van specifieke kwetsbaarheidscriteria.

Het vinden van de Top 100 apps gemaakt op Bubble.io

We hebben eerst een lijst met Bubble-apps verzameld uit verschillende bronnen:

  • Technologie zoekwebsites, namelijk BuiltWith en Wappalyzer
  • Alle apps gebouwd door bureaus uit de Bubble.io-bureaudirectory
  • Alle apps uit de "App van de dag"-sectie op het Bubble-forum
  • Alle links die doorverwijzen naar een Bubble-app in het Bubble-forum tussen 2018 en 2022
  • Andere kleine bronnen zoals plug-in editors die hun plug-in installatie app-URL's hebben gedeeld.

Vervolgens werd de volgende methode gebruikt om apps te sorteren binnen een Top 100:

  • Verwijderen van alle verouderde apps, niet-Bubble apps, of apps gemaakt door Bubble zelf.
  • Verwijderen van alle apps met een "gratis" of "bureau" abonnement.
  • Verwijderen van alle niet-gevoelige apps (zoals apps alleen voor landingspagina's, of zonder accountmogelijkheden).
  • Voor openbare apps, verkeersstatistieken verkrijgen van SimilarWeb.
  • Voor apps die intern worden gebruikt, keken we naar metingen zoals de grootte en waarde van het bedrijf.

Na een uitgebreide analyse van 38.453 links, konden we 2.640 geschikte applicaties voor het rapport identificeren.

→ Na verdere sortering bestond onze Top 100 apps uit 87 applicaties bedoeld voor publiek gebruik en 13 uitsluitend voor interne doeleinden.

Overwogen kwetsbaarheidspunten

We hebben tests uitgevoerd op de lijst van de Top 100 apps om de onderstaande beveiligingspunten te analyseren:

  • Blootstelling van gevoelige gegevens via Data API-lekken
  • Blootstelling van gevoelige gegevens als gevolg van verkeerd geconfigureerde privacyregels en zoekopdrachten/gegevensopvragingen op alle pagina's
  • Ongeoorloofde toegang tot beperkte of niet-openbare pagina's (bijvoorbeeld, beheerdersdashboards)
  • Manipulatie van beperkte workflows (bijvoorbeeld, gebruikers aanmaken als beheerders, activiteiten gerelateerd aan gevoelige operaties op databases, enzovoort)
  • Ongeoorloofde toegang tot diensten en API's van derden
  • Gegevens wissen in login workflows
  • Vulnerabiliteit van tijdelijke wachtwoorden
  • Ongeoorloofde toegang tot API-eindpunten

De tests werden zowel handmatig uitgevoerd als met behulp van onze interne audittool voor complexe operaties (bijvoorbeeld, URL-parameter brute forcing, XHR scrappen, enzovoort). Geavanceerde beveiligingsexploitaties werden bewust weggelaten vanwege de complexiteit van het uitvoeren ervan op zo'n grote dataset (bijvoorbeeld, key-to-path, JSON-parsing, cookie-exploit, enzovoort). Het rapport bevat geen kleine kwetsbaarheden zoals databaselekkages met minder dan 50 vermeldingen of kleine gecompromitteerde acties.

Een opmerking over ethiek

→ Alle partijen wiens applicaties in het rapport zijn opgenomen, werden voorafgaand aan de publicatie van het rapport op de hoogte gesteld van de kwetsbaarheden. We hebben hen exacte informatie verstrekt over de geïdentificeerde kwetsbaarheden en hebben hen kosteloze ondersteuning aangeboden om ze aan te pakken.

→Er is geen data van de kwetsbaarheid gedownload of opgeslagen op lokale systemen, en onze tool voor het detecteren van gevoelige data met behulp van Google Vertex AI was alleen geconfigureerd om te vertrouwen op sleutelanalyse, zonder hun waarden bloot te leggen.

→ Er zijn geen acties ondernomen vanaf een website via gecompromitteerde toegang of acties die mogelijk beperkt waren; in plaats daarvan hebben we alleen de broncode van de app gebruikt om de gevoeligheid van acties die werden veroorzaakt door potentiële gecompromitteerde workflowtriggers, te classificeren.

De Resultaten

De bevindingen van de studie waren zorgwekkend, aangezien het rapport aantoonde dat 89% van de Top 100-apps ten minste één beveiligingslek had.

89% van de Top 100-apps vertoonde ten minste een gevoelige beveiligingskwetsbaarheid.

Gevoelige datalekken

De meest zorgwekkende resultaten werden gevonden met betrekking tot gevoelige datalekken.Van de Top 100 gecontroleerde apps vertoonden er ten minste 76 kwetsbaarheden.In totaal konden we meer dan 2.300.000 stukken gevoelige en persoonlijke informatie identificeren, waaronder Amerikaanse socialezekerheidsnummers, paspoorten, scans van ID-kaarten, privévideo-opnames van vergaderingen, enz.

Deel van de apps met gevoelige datalekken van de Top 100 Bubble.io-apps. Gegevens die niet konden worden geïdentificeerd als gevoelig of veilig, worden aangeduid als "Onbekend".

We verwijzen naar gevoelige gegevens als informatie die onderhevig is aan wettelijke voorschriften (zoals de AVG, de CPRA of de Wet bescherming persoonsgegevens 1998), interne privédocumenten, of privé-informatie over gebruikers zoals postadres of telefoonnummer, met uitzondering van e-mails.‍

Gecompromitteerde beperkte handelingen en toegang

De analyse van de Top 100 apps onthulde dat 53 daarvan kwetsbaarheden hadden inzake beperkte toegang, en 61 hadden gecompromitteerde beperkte handelingen.

Deel van de apps met gecompromitteerde handelingen van de Top 100 Bubble.io-apps. De handelingen die niet konden worden geclassificeerd als gevoelig of veilig, worden aangeduid als "Onbekend".

Deze screenshot toont een voorbeeld van een gecompromitteerd beheerdersdashboard met gevoelige handelingen op de openbare/live database.

Kwetsbaarheden van derden of APIs

Van de 100 beoordeelde top-apps vertoonden er 18 kwetsbaarheden.

Deel van de apps met derde partijen of API kwetsbaarheden van de Top 100 Bubble.io-apps. De diensten die niet konden worden geclassificeerd als gevoelig of veilig, of waarvoor we geen potentiële toegang konden bevestigen, worden aangeduid als "Onbekend".

Deze screenshot toont een voorbeeld van een gecompromitteerde dienst van derden met volledige beheerders toegang tot gevoelige inhoud en acties.

Betrokken ontwikkelingsactoren

Van de 89 apps die kwetsbaarheden vertoonden, konden we de oorsprong van de app-ontwikkeling voor 75 ervan identificeren.

  • Ongeveer 92% van de apps gemaakt door onafhankelijke ondernemers of bedrijven hadden kwetsbaarheden.
  • Ongeveer 65% van de apps gemaakt door Bubble-agentschappen hadden kwetsbaarheden.
  • Ongeveer 82% van de apps gemaakt door freelancers of onafhankelijke ontwikkelaars hadden kwetsbaarheden.

Conclusie

Bubble.io is een veilig platform dat sterke beschermingsmaatregelen heeft ingevoerd voor gegevensbeveiliging. Niettemin maakt de wijdverbreide beschikbaarheid en intuïtieve gebruikersinterface het toegankelijk voor een groot publiek dat mogelijk geen uitgebreid begrip heeft van cybersecurity of actuele kennis van gegevensprivacyregelgeving, wat potentieel risico's oplevert voor de eindgebruikers. Dit fenomeen lijkt verder versterkt te worden door het gebrek aan adequate informatie over beveiligingspraktijken en een gebrek aan openbare rapporten over eerdere of bestaande kwetsbaarheden. Het is ook nodig om deze observatie te correleren met de exponentiële groei van no-code tools, en meer specifiek Bubble. Steeds meer toepassingen worden gebouwd met Bubble.io, dus statistisch gezien hebben steeds meer toepassingen beveiligingslekken. Het is noodzakelijk om zo snel mogelijk maatregelen te nemen om dit ecosysteem veilig te houden en geen geloofwaardigheid te verliezen.

                                                           Groeiende curve van het aantal apps dat draait op Bubble.io tussen 2013 en 2022. Bron: BuiltWith.

                                          

Het is daarom dringend noodzakelijk om bewustwording te creëren onder verschillende actoren, waaronder individuele ondernemers, freelancers en bureaus.

Het bouwen van een beveiligde Bubble-toepassing.

Na het uitvoeren van meer dan 30 handmatige audits voor Bubble-toepassingen, heeft ons team een innovatieve interne applicatie ontwikkeld om het proces te versnellen. In overleg met de eigenaren van bureaus werd duidelijk dat een hoogwaardig beveiligingstool hun kwaliteitsborgingsprocedures kon verbeteren en de levering van veilige toepassingen kon vergemakkelijken. Als gevolg daarvan hebben we samengewerkt met meer dan 15 bureaus en meer dan 50 Bubble freelancers om een geautomatiseerde oplossing te creëren die onze handmatige inspanningen reproduceert. Onlangs hebben we Flusk Vault, geïntroduceerd, een geavanceerd hulpmiddel dat is ontworpen om Bubble-ontwikkelaars, bureaus en bedrijfseigenaren te helpen bij het lanceren van veilige toepassingen, vrij van gegevenslekken of gecompromitteerde toegangspunten.

Deze schermafbeelding toont een concreet voorbeeld van Flusk Vault op een testtoepassing.

Nu je dit onderzoek hebt gelezen, willen we je bedanken voor je betrokkenheid bij zulke belangrijke onderwerpen in het Bubble-ecosysteem door je 10% korting aan te bieden op je eerste Flusk Vault-licentie. Je kunt je aanmelden via deze link en gebruik de volgende code tijdens het afrekenen: "SECURITYSTUDY4800". Hier is
 a snel artikel over hoe kortingscodes toe te passen.

We hebben ook een gratis boek uitgebracht over Bubble-beveiliging waarmee je kunt leren hoe je beveiligde applicaties kunt bouwen. 80 pagina's met concrete voorbeelden, beoordeeld door Bubble en 15 experts Bubble-ontwikkelaars: 🔗 De Bubble Beveiligings Spiekbrief 2023

Beoordeling door Bubble-experts

We hebben dit rapport voorgelegd aan erkende Bubble-experts om te weten wat ze dachten over de resultaten en hoe hun werk de beveiliging op Bubble kan verbeteren.

Petter Amlie profile picture

Petter Amlie

Petter is een bekende en erkende expert in het Bubble-ecosysteem. Hij is de auteur van De Ultieme Gids voor Bubble Beveiliging en De Ultieme Gids voor Bubble Prestaties. Hij werkt ook samen met Bubble aan de productdocumentatie.

Wat vind je van de resultaten van dit onderzoek?

“Ze zijn zeker verontrustend, maar niet verrassend. Bubble biedt sterke beveiliging, maar het is nog steeds redelijk moeilijk om een app op te zetten die alle mogelijke kwetsbaarheden aanpakt, zeker in vergelijking met het gebruiksgemak van andere delen van hun platform. Het is een uitdaging dat de meeste kwetsbaarheden niet worden genegeerd, maar dat ontwikkelaars zich er niet van bewust zijn. Het maken van dit een gesprek met hoge prioriteit in de gemeenschap is belangrijk.”

Wat denk je is de belangrijkste oorzaak van dit resultaat?

“Ik denk dat er verschillende oorzaken zijn. Misschien op de eerste plaats ben ik het ermee eens dat Bubble een publiek aantrekt dat geen ervaring heeft met cyberbeveiliging, en dat is merkbaar. Ze hebben misschien ook geen ervaring met ontwerp en workflow-logica, maar de onmiddellijke WYSIWYG-resultaten dwingen hen om te leren. Veiligheidskwetsbaarheden zijn grotendeels onzichtbaar en zeer moeilijk om bewust van te zijn als je er niet over wordt geïnformeerd. Ten tweede is beveiliging een lage prioriteit voor veel bedrijven: de meeste veranderen hun praktijken nadat ze zijn geschonden, dus het is niet uniek voor Bubble. Het is vooral moeilijk om prioriteit te geven als je een startup bouwt in de hoop deze snel op de markt te brengen en leren over beveiliging voelt als een onoverkomelijke uitdaging. Het is ook een negatieve cyclus waarin veel gebruikers hun app bouwen terwijl ze leren: en beveiliging is vaak het laatste waar ze aan denken. Het schip omkeren en wijzigingen aanbrengen in hun app achteraf is geen verleidelijke taak.”

Welke oplossingen denk je dat effectief zouden zijn om het Bubble-ecosysteem beter te beveiligen?

“Bewustwording staat uiteraard op de eerste plaats. Ik denk niet dat de grootschalige hackersgroepen al zo op de hoogte zijn van Bubble, maar er zullen ongetwijfeld botnetwerken worden opgezet die bekende kwetsbaarheden misbruiken, en wanneer dat gebeurt, kunnen duizenden apps tegelijkertijd worden blootgesteld: en wie weet hoeveel gebruikersgegevens. De documentatie van Bubble moet blijven verbeteren, en om nieuwe en informele Bubble-gebruikers vertrouwd te maken met goede beveiligingspraktijken, zijn externe middelen zoals boeken en uw auditplatform niet voldoende: Bubble moet werken aan het versterken van het bewustzijn en het helpen van ontwikkelaars om de beste praktijken vroeg in het productontwikkelingsproces te begrijpen.”

Hoe draag je bij aan de beveiliging van het Bubble-ecosysteem?

“Mijn meest voor de hand liggende bijdrage is denk ik het boek en hopelijk het werk dat ik doe aan de handleiding. Beveiliging zal zeker een groot deel uitmaken van dat werk, zelfs als we dat punt nog niet hebben bereikt in de ontwikkeling van de handleiding. Ik geef coaching sessies en trainingen/bootcamps, maar het grote, betekenisvolle volume van gebruikers wordt bereikt via de boeken, artikelen en de handleiding.”

Denk je dat externe beveiligingsoplossingen (nocode:nohack, ncScale, Flusk) hun plek hebben in het ecosysteem? Waarom?

“Zeker wel. Beveiliging is een kwestie van structuur en herhaling: controles en nogmaals controles. Laten we zeggen dat een systeem zoals Flusk 80% van mogelijke kwetsbaarheden kan onthullen voorafgaand aan elke implementatie - uiteraard is dat veel beter dan 0% en, nog belangrijker, het gebeurt elke keer. Zelfs als er 20% uitzonderingsgevallen zijn die nog steeds door de mazen glippen, zou ik zeggen dat dit nog steeds een grote verbetering is. Ik verzin deze cijfers om mijn punt te illustreren, maar ja: als software menselijk beheerde controlelijsten kan vervangen, is het gegarandeerd dat het menselijke fouten vermindert.”

Als je één veiligheidstip zou moeten geven aan iedereen die Bubble leert, wat zou het zijn?

“Ik geef je er twee: leer de privacyregels en leer het verschil tussen client-side en server-side.”

Benoit De Montecler profile picture

Benoît de Montecler

Benoît is medeoprichter van ncScale, de eerste tool om je no-code betrouwbaar, veilig en onderhoudbaar te maken.

Wat vind je van de resultaten van dit onderzoek?

“Deze resultaten zijn zorgwekkend omdat ze in één jaar tijd zijn verslechterd. Het aantal toepassingen is meer dan verdubbeld en duizenden nieuwe gebruikers van Bubble komen binnen en zien de beveiliging over het hoofd voor hun eerste toepassingen. Zoals bij elke nieuwe technologie ontdekken we geleidelijk aan de zwakke punten ervan. Dit baart me geen zorgen omdat het volgt op wat er met de code is gebeurd. Code-gebaseerde toepassingen hebben net zoveel gebreken, maar ontwikkelaars zijn beter in staat om ze te monitoren in tegenstelling tot no-code. Nieuwe tools zoals Flusk of ncScale laten zien dat de zaken de goede kant op gaan.
In tegenstelling tot wat algemeen wordt gedacht, zijn goede no-coders net zo zeldzaam als goede ontwikkelaars.
Het is nu essentieel voor bedrijven om no-code te beheersen, omdat het een concurrentievoordeel is geworden. 10 keer sneller ontwikkelen dan een concurrent mag niet ten koste gaan van de kwaliteit, en dit is nu mogelijk dankzij deze nieuwe tools.”

Wat denk je is de belangrijkste oorzaak van dit resultaat?

“Nieuwkomers bij Bubble gebruiken deze tool zoals ze dat zouden doen bij elk ander SaaS-platform dat gebruikers ervan weerhoudt kwetsbaarheden te creëren. Dankzij de toegeeflijke aanpak is Bubble zeer krachtig op het gebied van aanpassingsvermogen. Dit is wat het zijn belangrijkste troef en zwakte maakt.”

Welke oplossingen denk je dat effectief zouden zijn om het Bubble-ecosysteem beter te beveiligen?

“Bubble zou apps moeten scannen en proactief moeten zijn over bepaalde voor de hand liggende dingen, zoals:
- Waarschuwen wanneer gevoelige gegevens openbaar zijn.
- Maak onnodige openbare elementen privé, zoals de lijst van pagina's, de databasestructuur en de lijst van gebruikte API's van derden.
- Als we kijken naar de beveiligingstools van Bubble, zien we dat er steeds meer van zijn, wat een goed teken is! Het begon met Tinkso daarna ncScale en tot slot Flusk! Dit gaat de goede kant op, en ik hoop dat er nog meer zullen komen!”

Hoe draagt ncScale bij aan de veiligheid en betrouwbaarheid van het Bubble-ecosysteem en de no-code-industrie in het algemeen?

“We hebben de functionaliteiten van onze beveiligingsplugin 'nocodenohack' opnieuw geïntegreerd in ncScale, en we hebben zojuist waarschuwingen gelanceerd voor Bubble-logs. Dit stelt ons in staat om ongeautoriseerd gedrag in realtime te volgen, zoals ongeautoriseerde toegang tot een beheerderspagina door een gebruiker, fouten detecteren die gebruikers blokkeren of een abnormale piek in het gebruik van een functionaliteit detecteren.”

Als je één beveiligingstip moest geven aan iedereen die Bubble leert, wat zou het zijn?

“Als er één ding is om te onthouden om je Bubble-applicatie te beveiligen, is het dat je tegelijkertijd je database moet ontwerpen en je privacyregels moet instellen! Als je beide niet parallel doet, wordt het moeilijk om te beveiligen en is het risico op fouten zeer hoog.”

Middelen

Directe oplossingen omvatten middelen van bekende actoren, zoals:

Dit rapport is gebaseerd op een onderzoek uitgevoerd in december 2022 door Flusk.

Als u de inhoud van dit artikel wilt gebruiken of herpubliceren, neem dan contact op met inquiries@flusk.eu voor toestemming.

Related Posts

Droite au Coeur: De Ontwikkeling van het Eerste Bubble.io Beveiligingsschandaal

Droite au Coeur: De Ontwikkeling van het Eerste Bubble.io Beveiligingsschandaal

News

7 Aug

/

10 min read

NcScale gaat gratis: Een nauwere blik op hun nieuwe prijsmodel

NcScale gaat gratis: Een nauwere blik op hun nieuwe prijsmodel

News

11 Aug

/

2 min read

#BubbleCon2023: Wat Kunnen We Verwachten?

#BubbleCon2023: Wat Kunnen We Verwachten?

News

3 Aug

/

2 min read

User