Lassen Sie gemeinsam genutzte private Schlüssel und Kennwörter nachlässig, und dies hätte zu einem massiven Datenverstoß führen können
Sicherheitsforscher haben es wahrscheinlich satt, Datenbanken zu entdecken und zu melden, die große Mengen vertraulicher Informationen enthalten und von überall aus auf sie zugreifen können, ohne dass eine Authentifizierung erforderlich ist. Es ist ein leicht zu vermeidender Konfigurationsfehler, der äußerst häufig zu sein scheint, und manchmal sind die möglichen Folgen schwerwiegend. Immobilien-Startup Remine konnte diesen Fehler vermeiden. Das Unternehmen hostet beispielsweise Daten auf AWS-Servern und -Datenbanken, hat sie jedoch mit einem Kennwort geschützt. Trotzdem hat Mossab Hussein vom Cybersicherheitsunternehmen spiderSilk einen Weg gefunden, auf all diese Informationen zuzugreifen. Der Forscher teilte seine Ergebnisse mit Zach Whittaker von TechCrunch, der uns den vollständigen Überblick gab.
Table of Contents
Remine hatte einen gefährlichen Fehler in seiner Entwicklungsumgebung
Das Problem lag nicht in der Art und Weise, wie Remine seine Daten speichert, sondern in seiner Entwicklungsumgebung. Wie einige von Ihnen wahrscheinlich wissen, ist die Entwicklungsumgebung der Ort, an dem ein Onlinedienstanbieter neue Funktionen testet, perfektioniert und debuggt, bevor er sie für die Öffentlichkeit freigibt. Normalerweise hatten nur Entwickler und Mitarbeiter Zugriff auf die Entwicklungsplattform eines Unternehmens, und im Fall von Remine war für das Öffnen tatsächlich eine Authentifizierung erforderlich. Mossab Hussein fand jedoch heraus, dass Personen außerhalb des Unternehmens problemlos Konten erstellen und sich anmelden konnten.
Remine-Entwickler teilten Anmeldeinformationen und legten versehentlich Unternehmensdaten offen
Es scheint keine Anhaltspunkte dafür zu geben, dass es jemandem gelungen ist, den Authentifizierungsfehler vor Hussein zu entdecken, und wir können nur hoffen, dass er tatsächlich der erste war, der ihn gesehen hat, da der Fehler Hackern Zugriff auf viele vertrauliche Informationen verschafft hätte.
Um den Fehler zu bestätigen, erstellte Hussein ein Konto, loggte sich ein und sah ahnungslose Remine-Entwickler, die Passwörter, private Schlüssel und andere Anmeldedaten teilten und unwissentlich Unternehmens- und Benutzerdaten gefährdeten. Die bloße Tatsache, dass Entwickler ihre Anmeldeinformationen frei miteinander austauschen konnten, zeigt eine ziemlich krasse Unvollkommenheit in der Zugriffssteuerungsrichtlinie von Remine. Zusammen mit dem Authentifizierungsfehler hätte dies Angreifern Zugriff auf eine enorme Menge vertraulicher Informationen verschaffen können.
Zwei scheinbar kleine Fehler hätten zu einem massiven Datenverstoß führen können
Einige der Anmeldeinformationen, die in der Entwicklungsumgebung von Remine frei ausgetauscht wurden, schützten die AWS-Datenbanken des Unternehmens. Andere hätten Angreifern Zugang zum Slack-Arbeitsplatz der Plattform gewährt. Mit anderen Worten, mit den geteilten Informationen hätten die Cyberkriminellen auf viele Daten zugreifen können, die niemals offengelegt werden sollten.
Remine ist sehr stolz auf das große Informationsvolumen. Anscheinend werden Details zu etwa 150 Millionen Immobilien in den meisten Teilen der USA gespeichert, und als Hussein sich einige seiner Speicherserver ansah, fand er Dokumente im Wert von "einem Jahrzehnt", die Mietverträge, Adressen von Käufern und Verkäufern enthielten und andere Daten. Whittaker selbst überprüfte einige der Akten und sah eine Menge persönlich identifizierbarer Informationen von Personen, die Remines Dienste in Anspruch genommen hatten.
Das Ausnutzen des Fehlers war nicht wirklich schwierig, und die möglichen Konsequenzen waren ziemlich massiv. Zum Glück deuten Remines Handlungen darauf hin, dass sie erkennen, wie ernst die Situation war. Nachdem Whittaker bei der verantwortungsvollen Aufdeckung des Problems geholfen hatte, sprach er mit Jonathan Spinetto, Remines Mitbegründer und COO, der ihm versicherte, dass die richtigen Schritte unternommen wurden. Der Authentifizierungsfehler wurde behoben, und externe Personen können nicht mehr auf die Entwicklungsserver des Unternehmens zugreifen. Die privaten Schlüssel und Passwörter, die von Entwicklern versehentlich offengelegt wurden, wurden geändert, und das Unternehmen hat Cybersicherheitsexperten beauftragt, die bei der Untersuchung helfen werden. Sobald die Ergebnisse vorliegen, beabsichtigt Remine, alle Beteiligten gemäß den geltenden Gesetzen zur Benachrichtigung über Datenschutzverletzungen zu informieren.
Wie Zack Whittaker bemerkte, ging Remine relativ unversehrt aus dem Ganzen hervor. Die Entdeckung von Sicherheitslücken sollte jedoch eine Lehre für alle sein. Es sollte uns lehren, dass selbst relativ kleine Fehler schwerwiegende Folgen haben können und dass der Schutz einer Online-Plattform eine sorgfältige Abwägung aller Risiken und die Liebe zum Detail erfordert.
