Το Remine μοιράστηκε ιδιωτικά κλειδιά και κωδικούς πρόσβασης απροβλέπτα και αυτό θα μπορούσε να οδηγήσει σε μαζική παραβίαση δεδομένων
Οι ερευνητές στον τομέα της ασφάλειας έχουν πιθανώς φτάσει αρκετά κουρασμένοι να ανακαλύψουν και να αναφέρουν βάσεις δεδομένων που περιέχουν μεγάλες ποσότητες ευαίσθητων πληροφοριών και μπορούν να αποκτήσουν πρόσβαση από οπουδήποτε χωρίς να απαιτείται πιστοποίηση ταυτότητας. Είναι ένα εύκολο να αποφευχθεί λάθος διαμόρφωσης που φαίνεται να είναι εξαιρετικά κοινό και μερικές φορές οι πιθανές συνέπειες είναι σοβαρές. Εκκίνηση ακινήτων Η Remine κατόρθωσε να αποφύγει αυτό το λάθος. Η εταιρεία φιλοξενεί δεδομένα για διακομιστές και βάσεις δεδομένων AWS, για παράδειγμα, αλλά την έχει προστατεύσει με κωδικό πρόσβασης. Παρ 'όλα αυτά, ο Mossab Hussein από την εταιρία cybersecurity spiderSilk ανακάλυψε έναν τρόπο πρόσβασης σε όλες αυτές τις πληροφορίες. Ο ερευνητής μοιράστηκε τα συμπεράσματά του με τον Zach Whittaker της TechCrunch, ο οποίος μας έδωσε την πλήρη αξιοπιστία.
Table of Contents
Η Remine είχε ένα επικίνδυνο σφάλμα στο περιβάλλον ανάπτυξής του
Το πρόβλημα δεν έγκειται στον τρόπο με τον οποίο η Remine αποθηκεύει τα δεδομένα της, αλλά με το αναπτυξιακό της περιβάλλον. Όπως ίσως γνωρίζουν ορισμένοι από εσάς, το περιβάλλον ανάπτυξης είναι ο τόπος όπου ένας πάροχος υπηρεσιών σε απευθείας σύνδεση δοκιμάζει, τελειώνει και διορθώνει τα νέα χαρακτηριστικά πριν τα απελευθερώσει στο κοινό. Κανονικά, μόνο οι προγραμματιστές και οι εργαζόμενοι θα έχουν πρόσβαση στην αναπτυξιακή πλατφόρμα μιας εταιρείας, και στην περίπτωση της Remine, το άνοιγμα της επιχείρησης απαιτούσε πράγματι έλεγχο ταυτότητας. Ωστόσο, ο Mossab Hussein ανακάλυψε ότι άτομα εκτός της εταιρείας θα μπορούσαν εύκολα να δημιουργούν λογαριασμούς και να συνδεθούν.
Οι προγραμματιστές της Remine μοιράζονταν διαπιστευτήρια και εκθέτουν εκ παραδρομής στοιχεία της εταιρείας
Δεν φαίνεται να υπάρχουν στοιχεία που να δείχνουν ότι κάποιος κατάφερε να ανακαλύψει το σφάλμα εξακρίβωσης της ταυτότητας πριν από τον Χουσεΐν και μπορούμε μόνο να ελπίζουμε ότι ήταν πράγματι ο πρώτος που το είδε, διότι το λάθος θα είχε δώσει στους χάκερς πρόσβαση σε πολλές ευαίσθητες πληροφορίες.
Για να επιβεβαιώσει το σφάλμα, ο Hussein δημιούργησε έναν λογαριασμό που συνδεόταν και είδε τους ανυποψίαστους προγραμματιστές της Remine, οι οποίοι μοιράζονταν κωδικούς πρόσβασης, ιδιωτικά κλειδιά και άλλα δεδομένα σύνδεσης και απρόσμενα έθεταν σε κίνδυνο τα δεδομένα των εταιρειών και των χρηστών. Το γεγονός και μόνο ότι οι προγραμματιστές ανταλλάσσουν ελεύθερα τα διαπιστευτήρια σύνδεσης μεταξύ τους υπογραμμίζει μια μάλλον έντονη ατέλεια στην πολιτική ελέγχου της πρόσβασης της Remine. Αυτό, σε συνδυασμό με το σφάλμα ελέγχου ταυτότητας, θα μπορούσε να δώσει στους επιτιθέμενους πρόσβαση σε μια τεράστια ποσότητα ευαίσθητων πληροφοριών.
Δύο φαινομενικά μικρά λάθη θα μπορούσαν να οδηγήσουν σε μαζική παραβίαση δεδομένων
Ορισμένα από τα διαπιστευτήρια που ανταλλάσσονται ελεύθερα μέσα στο αναπτυξιακό περιβάλλον της Remine προστατεύουν τις βάσεις δεδομένων AWS της εταιρείας. Άλλοι θα είχαν δώσει στους επιτιθέμενους πρόσβαση στον χώρο εργασίας Slack της πλατφόρμας. Με άλλα λόγια, με τις κοινές πληροφορίες, οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να έχουν πρόσβαση σε πολλά δεδομένα που δεν πρέπει ποτέ να εκτίθενται.
Η Remine είναι πολύ υπερήφανη για τον μεγάλο όγκο των πληροφοριών που κατέχει. Προφανώς, αποθηκεύει λεπτομέρειες για περίπου 150 εκατομμύρια ιδιότητες που διαδίδονται στις περισσότερες από τις ΗΠΑ και όταν ο Χουσεΐν έβλεπε μερικούς από τους διακομιστές αποθήκευσης, βρήκε έγγραφα αξίας μιας δεκαετίας που περιλάμβαναν συμφωνίες ενοικίου, διευθύνσεις αγοραστών και πωλητών , και άλλα δεδομένα. Ο ίδιος ο Whittaker εξέτασε μερικούς από τους φακέλους και είδε πολλές προσωπικές πληροφορίες από άτομα που έχουν χρησιμοποιήσει τις υπηρεσίες της Remine.
Η αξιοποίηση του σφάλματος δεν ήταν πραγματικά τόσο δύσκολη και οι πιθανές συνέπειες ήταν αρκετά τεράστιες. Ευτυχώς, οι ενέργειες της Remine υποδηλώνουν ότι συνειδητοποιούν πόσο σοβαρή είναι η κατάσταση. Αφού βοήθησε με την υπεύθυνη αποκάλυψη του προβλήματος, ο Whittaker μίλησε με τον Jonathan Spinetto, τον συνιδρυτή της Remine και τον COO, ο οποίος τον διαβεβαίωσε ότι έχουν ληφθεί τα σωστά βήματα. Το σφάλμα ελέγχου ταυτότητας έχει τροποποιηθεί και οι εξωτερικοί χρήστες δεν μπορούν πλέον να έχουν πρόσβαση στους διακομιστές ανάπτυξης της εταιρείας. Τα ιδιωτικά κλειδιά και οι κωδικοί πρόσβασης που έχουν εκτεθεί ακούσια από τους προγραμματιστές έχουν αλλάξει και η εταιρεία έχει προσλάβει εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο, οι οποίοι θα βοηθήσουν στην έρευνα. Μόλις ολοκληρωθούν τα αποτελέσματα, η Remine προτίθεται να ενημερώσει όλους τους εμπλεκόμενους σύμφωνα με τους ισχύοντες νόμους περί παραβίασης των δεδομένων.
Όπως σημείωσε ο Zack Whittaker, η Remine προέκυψε από το όλο θέμα σχετικά άθλια. Ωστόσο, η ανακάλυψη ευπάθειας πρέπει να είναι ένα μάθημα για όλους. Θα πρέπει να μας διδάξει ότι ακόμη και σχετικά μικρά σφάλματα μπορεί να έχουν σοβαρές συνέπειες και ότι η προστασία μιας online πλατφόρμας απαιτεί προσεκτική εξέταση όλων των κινδύνων και ιδιαίτερη προσοχή στη λεπτομέρεια.
