Remine négligemment les clés privées et les mots de passe partagés, ce qui pourrait avoir conduit à une violation massive des données

Remine Authentication Vulnerability

Les chercheurs en sécurité sont probablement devenus assez fatigués de découvrir et de signaler des bases de données contenant de grands volumes d'informations sensibles et accessibles depuis n'importe où sans nécessiter d'authentification. Il s'agit d'une erreur de configuration facile à éviter qui semble être extrêmement courante et, parfois, les conséquences potentielles sont graves. La startup immobilière Remine a réussi à éviter cette erreur. La société héberge des données sur des serveurs et des bases de données AWS, par exemple, mais elle les a protégées par un mot de passe. Malgré cela, Mossab Hussein de la société de cybersécurité spiderSilk a découvert un moyen d'accéder à toutes ces informations. Le chercheur a partagé ses conclusions avec Zach Whittaker de TechCrunch, qui nous a donné le récapitulatif complet.

Remine avait un bug dangereux dans son environnement de développement

Le problème ne réside pas dans la façon dont Remine stocke ses données, mais dans son environnement de développement. Comme certains d'entre vous le savent probablement, l'environnement de développement est l'endroit où un fournisseur de services en ligne teste, perfectionne et débogue de nouvelles fonctionnalités avant de les rendre publiques. Normalement, seuls les développeurs et les employés auraient accès à la plateforme de développement d'une entreprise, et dans le cas de Remine, son ouverture nécessitait en effet une authentification. Mossab Hussein a cependant découvert que les personnes extérieures à l'entreprise pouvaient facilement créer des comptes et se connecter.

Les développeurs de Remine partageaient des informations d'identification et exposaient par inadvertance les données de l'entreprise

Il ne semble pas y avoir de preuve suggérant que quelqu'un a réussi à découvrir le bogue d'authentification avant Hussein, et nous ne pouvons qu'espérer qu'il était en effet la première personne à le voir car l'erreur aurait permis aux pirates d'accéder à de nombreuses informations sensibles.

Pour confirmer le bogue, Hussein a créé un compte, s'est connecté et a vu des développeurs Remine sans méfiance qui partageaient des mots de passe, des clés privées et d'autres données de connexion et mettaient involontairement en danger les données de l'entreprise et des utilisateurs. Le simple fait que les développeurs échangent librement leurs informations de connexion entre eux met en évidence une imperfection plutôt flagrante dans la politique de contrôle d'accès de Remine. Ceci, associé au bogue d'authentification, aurait pu donner aux attaquants un accès à une énorme quantité d'informations sensibles.

Deux erreurs apparemment mineures auraient pu entraîner une violation massive des données

Certaines des informations d'identification qui ont été librement échangées dans l'environnement de développement de Remine ont protégé les bases de données AWS de l'entreprise. D'autres auraient donné aux attaquants l'accès au lieu de travail Slack de la plateforme. En d'autres termes, avec les informations partagées, les cybercriminels auraient pu accéder à un grand nombre de données qui ne devraient jamais être exposées.

Remine est très fier du grand volume d'informations qu'il détient. Apparemment, il stocke des détails sur environ 150 millions de propriétés réparties dans la plupart des États-Unis, et lorsque Hussein a jeté un coup d'œil à certains de ses serveurs de stockage, il a trouvé "une décennie de documents", qui comprenaient des accords de location, des adresses d'acheteurs et de vendeurs et d'autres données. Whittaker lui-même a examiné certains des fichiers et il a vu beaucoup d'informations personnellement identifiables sur les personnes qui ont utilisé les services de Remine.

Exploiter le bogue n'était pas vraiment difficile, et les conséquences potentielles étaient assez énormes. Heureusement, les actions de Remine suggèrent qu'ils réalisent à quel point la situation était grave. Après avoir aidé à la divulgation responsable du problème, Whittaker a parlé à Jonathan Spinetto, co-fondateur et COO de Remine, qui lui a assuré que les mesures correctes avaient été prises. Le bogue d'authentification a été corrigé et les personnes extérieures ne peuvent plus accéder aux serveurs de développement de l'entreprise. Les clés privées et les mots de passe qui ont été révélés par inadvertance par les développeurs ont été modifiés, et la société a engagé des experts en cybersécurité qui aideront à l'enquête. Une fois les résultats publiés, Remine entend informer toutes les personnes concernées conformément aux lois applicables en matière de notification de violation de données.

Comme l'a noté Zack Whittaker, Remine est sorti de l'ensemble relativement indemne. Cependant, la découverte de vulnérabilités devrait être une leçon pour tout le monde. Cela devrait nous apprendre que même des bogues relativement petits peuvent avoir des conséquences majeures et que la protection d'une plate-forme en ligne nécessite un examen attentif de tous les risques et une attention particulière aux détails.

Par Duran
February 26, 2020
News
Français
February 26, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.