Husk delte private nøgler og adgangskoder skødesløst, og dette kunne have ført til en massiv dataforbrud
Sikkerhedsforskere er sandsynligvis blevet temmelig trætte af at opdage og rapportere databaser, der indeholder store mængder følsom information og kan fås adgang til hvor som helst uden at kræve godkendelse. Det er en let at undgå konfigurationsfejl, der ser ud til at være ekstremt almindelig, og sommetider er de potentielle konsekvenser alvorlige. Start af fast ejendom Det lykkedes Remine at undgå denne fejl. Virksomheden er vært for data på for eksempel AWS-servere og databaser, men det har beskyttet dem med en adgangskode. På trods af dette opdagede Mossab Hussein fra cybersecurity-selskabet spiderSilk en måde at få adgang til alle disse oplysninger. Forskeren delte sine fund med TechCrunchs Zach Whittaker, der gav os den fulde oversigt.
Table of Contents
Remine havde en farlig bug i sit udviklingsmiljø
Problemet lå ikke ved den måde, Remine lagrer sine data på, men med deres udviklingsmiljø. Som nogle af jer sandsynligvis ved, er udviklingsmiljøet det sted, hvor en online tjenesteudbyder tester, perfekterer og fejler nye funktioner, før de frigives til offentligheden. Normalt var det kun udviklere og ansatte, der havde adgang til en virksomheds udviklingsplatform, og i tilfælde af Remine krævede åbning af den faktisk godkendelse. Mossab Hussein fandt imidlertid ud af, at folk uden for virksomheden let kunne oprette konti og logge ind.
Husk udviklere delte legitimationsoplysninger og afslørede utilsigtet virksomhedsdata
Der ser ud til at være intet, der tyder på, at nogen formåede at opdage autentificeringsfejl før Hussein, og vi kan kun håbe, at han faktisk var den første, der så den, fordi fejlen ville have givet hackere adgang til en masse følsomme oplysninger.
For at bekræfte fejlen oprettede Hussein en konto, logget ind og så intetanende Remine-udviklere, der delte adgangskoder, private nøgler og andre login-data og uforvarende satte firma- og brugerdata i fare. Den blotte kendsgerning, at udviklere frit udvekslede loginoplysninger med hinanden, fremhæver en ret lysende ufuldkommenhed i Remines politik for adgangskontrol. Dette sammen med godkendelsesfejl kunne have givet angribere adgang til en enorm mængde følsom information.
To tilsyneladende små fejl kunne have resulteret i en massiv dataovertrædelse
Nogle af de legitimationsoplysninger, der frit blev udvekslet inden for Remines udviklingsmiljø, beskyttede virksomhedens AWS-databaser. Andre ville have givet angribere adgang til platformens Slack-arbejdsplads. Med andre ord, med den delte information ville cyberkriminelle have været i stand til at få adgang til en masse data, der aldrig skulle udsættes.
Remine er meget stolt over den store mængde information, den har. Tilsyneladende gemmer det detaljer om omkring 150 millioner ejendomme spredt rundt i det meste af USA, og da Hussein kiggede på nogle af dets lagringsservere, fandt han "et tiårs værd af dokumenter", som omfattede huslejeaftaler, adresse på købere og sælgere og andre data. Whittaker selv gennemgik nogle af filerne, og han så en hel del personligt identificerbare oplysninger om mennesker, der har brugt Remines tjenester.
Det var ikke så vanskeligt at udnytte fejlen, og de potentielle konsekvenser var temmelig massive. Heldigvis tyder Remines handlinger på, at de er klar over, hvor alvorlig situationen var. Efter at have hjulpet med den ansvarlige afsløring af problemet, talte Whittaker med Jonathan Spinetto, Remines medstifter og COO, som forsikrede ham om, at de rigtige skridt er taget. Godkendelsesfejl er blevet rettet, og udenfor kan folk ikke længere få adgang til virksomhedens udviklingsservere. De private nøgler og adgangskoder, som uforvarende blev eksponeret af udviklere, er blevet ændret, og virksomheden har engageret cybersecurity-eksperter, der vil hjælpe med efterforskningen. Når resultaterne er ude, har Remine til hensigt at informere alle involverede i overensstemmelse med de gældende love om underretning om dataovertrædelse.
Som Zack Whittaker bemærkede, kom Remine relativt uhindret ud af det hele. Sårbarhedsopdagelsen skal dog være en lektion for alle. Det skal lære os, at selv relativt små bugs kan have store konsekvenser, og at beskyttelse af en online platform kræver omhyggelig overvejelse af alle risici og nøje opmærksomhed på detaljer.
