A security researcher discovered that a Firebase-backed microfinance lending platform left two of three Firebase services (Firestore and Firebase Storage) with default open security rules, exposing hundreds of borrowers' complete PII including national ID numbers, GPS coordinates, photos, credit scores, and signed loan documents. Starting from the publicly accessible /__/firebase/init.json endpoint, the researcher extracted the projectId and constructed REST API calls to enumerate collections and download records without any authentication. Full CRUD access was confirmed — unauthenticated attackers could read, write, modify, or delete production financial records. The Realtime Database was the only service correctly locked down. The writeup details the attack chain, the data exposed in customers/loans/surveys/groups collections, and provides the two-line Firestore and Storage rule fix (if request.auth != null) that would have prevented the entire compromise.
Nguồn: https://infosecwriteups.com/no-rules-no-locks-firebase-misconfiguration-and-the-borrowers-it-left-behind-90d568038414. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Một nhóm Flutter đã xây dựng game DashLander theo phong cách moonlander bằng nền tảng lập trình agentic Antigravity của Google để minh họa quy trình "vibe once, run anywhere". Bài viết nhấn mạnh ưu điểm của Flutter trong phát triển AI (typing mạnh, codebase duy nhất, hot reload), cách tạo assets bằng Lyria, Stitch, Gemini, và quá trình lặp từ prototype đến sản phẩm triển khai. Thách thức kỹ thuật bao gồm vật lý zero-G từ Gemini Deep Research, gỡ lỗi logic game bằng overlay AI, và sửa lỗi desync do lập lịch CPU. Ứng dụng cuối cùng được triển khai lên Firebase Hosting qua stack Dart thống nhất sử dụng Jaspr cho trang marketing.
Lập trình viên nên đọc bài này để khám phá cách kết hợp AI tự động hóa phát triển với để tối ưu hóa quá trình tạo game từ ý tưởng đến sản phẩm thực tế, tiết kiệm thời gian và công sức trong việc xử lý logic phức tạp như vật lý không trọng lực và debug.
Một nhà phát triển xây dựng nền tảng escrow Web3 không tốn gas dựa trên milestone trong 20 giờ trên Base Sepolia, kết hợp hợp đồng thông minh Solidity với Firebase Firestore để đồng bộ giao diện theo thời gian thực. Quá trình gỡ lỗi gặp khó khăn do quy tắc bảo mật Firestore quá phức tạp gây ra điều kiện tranh chấp xác thực, sau đó được khắc phục bằng cách đơn giản hóa quy tắc. Bài viết chia sẻ kinh nghiệm như trì hoãn đăng ký subscription cho đến khi kết nối ví được xác nhận và luôn truyền callback lỗi cho trình nghe Firestore.
Lập trình viên Web3 nên đọc bài này để tránh gặp phải các lỗi an toàn và hiệu suất như auth race condition từ Firestore khi thiết kế giao diện thực thời mà không kiểm soát kỹ quy tắc bảo mật, và học cách tối ưu hóa từ các giải pháp MVP đơn giản hơn.