Как избежать злоупотребления Firebase Phone AuthIOS

Программируем под IOS
Anonymous
Как избежать злоупотребления Firebase Phone Auth

Сообщение Anonymous »

Недавно неизвестный злоумышленник начал злоупотреблять аутентификацией Firebase Phone в нашем приложении для iOS, рассылая спам-запросы к Google.cloud.identitytoolkit.v1.AuthenticationService.SendVerificationCode с различными телефонными номерами с разных IP-адресов. Следовательно, наше приложение теряет около 200 долларов США каждый день.
К моему удивлению, Firebase оказывается совершенно беспомощным перед атаками.
AppCheck, похоже, ничего не делает (все возможные варианты быть включенным уже было включено), и более того, нет такой элементарной вещи, как квота запросов на IP-адрес для вызовов SendVerificationCode.
"Поддержка" тоже бесполезна. Он продолжает повторять циты из онлайн-документов, не пытаясь расследовать дело.
Я думал, что «Функции блокировки» могут помочь, но я громко рассмеялся, узнав, что они позвонили после SMS уже было отправлено, поэтому в моем случае они не могут предотвратить злоупотребления.
Итак, главный вопрос к сообществу: ребята, как вы защищаете свою аутентификацию телефона Firebase от злоупотреблений? Или лучше оставить это в покое и перейти на любой альтернативный сервис?
С уважением,

Подробнее здесь: https://stackoverflow.com/questions/786 ... phone-auth

Вернуться в «IOS»