Recuerde claves privadas y contraseñas compartidas descuidadamente, y esto podría haber llevado a una violación masiva de datos

Remine Authentication Vulnerability

Los investigadores de seguridad probablemente se cansaron de descubrir e informar bases de datos que contienen grandes volúmenes de información confidencial y a las que se puede acceder desde cualquier lugar sin requerir autenticación. Es un error de configuración fácil de evitar que parece ser extremadamente común y, a veces, las posibles consecuencias son graves. La startup inmobiliaria Remine logró evitar este error. La empresa aloja datos en servidores y bases de datos de AWS, por ejemplo, pero los ha protegido con una contraseña. A pesar de esto, Mossab Hussein de spiderSilk, compañía de ciberseguridad, descubrió una forma de acceder a toda esa información. El investigador compartió sus hallazgos con Zach Whittaker de TechCrunch, quien nos dio el resumen completo.

Remine tenía un error peligroso en su entorno de desarrollo

El problema no radica en la forma en que Remine almacena sus datos, sino en su entorno de desarrollo. Como algunos de ustedes probablemente saben, el entorno de desarrollo es el lugar donde un proveedor de servicios en línea prueba, perfecciona y depura nuevas funciones antes de lanzarlas al público. Normalmente, solo los desarrolladores y los empleados tendrían acceso a la plataforma de desarrollo de una empresa, y en el caso de Remine, abrirla realmente requería autenticación. Sin embargo, Mossab Hussein descubrió que las personas ajenas a la empresa podían crear cuentas e iniciar sesión fácilmente.

Los desarrolladores de Remine estaban compartiendo credenciales y exponían sin darse cuenta los datos de la compañía

Parece que no hay evidencia que sugiera que alguien logró descubrir el error de autenticación antes de Hussein, y solo podemos esperar que él haya sido la primera persona en verlo porque el error habría dado a los piratas informáticos acceso a mucha información confidencial.

Para confirmar el error, Hussein creó una cuenta, inició sesión y vio a los desprevenidos desarrolladores de Remine que compartían contraseñas, claves privadas y otros datos de inicio de sesión y, sin saberlo, ponían en riesgo los datos de la empresa y el usuario. El simple hecho de que los desarrolladores intercambiaran libremente credenciales de inicio de sesión entre sí pone de relieve una imperfección bastante evidente en la política de control de acceso de Remine. Esto, junto con el error de autenticación, podría haber dado a los atacantes acceso a una enorme cantidad de información confidencial.

Dos errores aparentemente pequeños podrían haber resultado en una violación masiva de datos

Algunas de las credenciales que se intercambiaron libremente dentro del entorno de desarrollo de Remine protegieron las bases de datos de AWS de la compañía. Otros habrían dado a los atacantes acceso al lugar de trabajo Slack de la plataforma. En otras palabras, con la información compartida, los ciberdelincuentes habrían podido acceder a una gran cantidad de datos que nunca deberían ser expuestos.

Remine está muy orgulloso del gran volumen de información que contiene. Aparentemente, almacena detalles sobre unos 150 millones de propiedades repartidas por la mayor parte de los EE. UU., Y cuando Hussein echó un vistazo a algunos de sus servidores de almacenamiento, encontró "una década de documentos", que incluía acuerdos de alquiler, direcciones de compradores y vendedores. , y otros datos. Whittaker mismo revisó algunos de los archivos, y vio mucha información de identificación personal de las personas que han utilizado los servicios de Remine.

La explotación del error no fue realmente tan difícil, y las posibles consecuencias fueron bastante masivas. Afortunadamente, las acciones de Remine sugieren que se den cuenta de la gravedad de la situación. Después de ayudar con la divulgación responsable del problema, Whittaker habló con Jonathan Spinetto, cofundador y director de operaciones de Remine, quien le aseguró que se habían tomado los pasos correctos. El error de autenticación ha sido parcheado y las personas externas ya no pueden acceder a los servidores de desarrollo de la compañía. Las claves privadas y las contraseñas que fueron expuestas inadvertidamente por los desarrolladores han cambiado, y la compañía ha contratado a expertos en seguridad cibernética que ayudarán con la investigación. Una vez que los resultados están fuera, Remine tiene la intención de informar a todos los involucrados de acuerdo con las leyes de notificación de violación de datos aplicables.

Como señaló Zack Whittaker, Remine emergió de todo el asunto relativamente ileso. Sin embargo, el descubrimiento de vulnerabilidades debería ser una lección para todos. Debería enseñarnos que incluso los errores relativamente pequeños pueden tener consecuencias importantes y que proteger una plataforma en línea requiere una cuidadosa consideración de todos los riesgos y una gran atención a los detalles.

En Duran
February 26, 2020
News
Spanish
February 26, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.