Remine megosztott magánkulcsokat és jelszavakat gondatlanul, és ez hatalmas adatsértést okozhatott volna
A biztonsági kutatók valószínűleg eléggé belefáradtak azon adatbázisok felfedezéséhez és jelentéséhez, amelyek nagy mennyiségű érzékeny információt tartalmaznak, és bárhonnan hozzáférhetők hitelesítés nélkül. Ez egy könnyen elkerülhető konfigurációs hiba, amely rendkívül gyakorinak tűnik, és néha a lehetséges következmények súlyosak. Az ingatlan indításakor a Remine elkerülte ezt a hibát. A cég például az AWS szerverek és adatbázisok adatait tárolja, de jelszóval védte azokat. Ennek ellenére Mossab Hussein, a spiderSilk kiberbiztonsági társaságától felfedezte az összes információ elérésének módját. A kutató megosztotta eredményeit a TechCrunch Zach Whittakerrel, aki teljes mértékben lemondott nekünk.
Table of Contents
Remine veszélyes hibája volt a fejlesztési környezetében
A probléma nem a Remine adattárolási módjában, hanem a fejlesztési környezetében rejlik. Mint néhányan valószínűleg tudja, a fejlesztési környezet az a hely, ahol egy online szolgáltató tesztel, tökéletesít és hibakeresést végez, mielőtt azokat nyilvánosságra hozza. Általában csak a fejlesztők és az alkalmazottak férhetnek hozzá egy vállalat fejlesztési platformjához, és a Remine esetében annak megnyitásához valóban hitelesítésre volt szükség. Mossab Hussein azonban rájött, hogy a vállalaton kívüli emberek könnyen létrehozhatnak fiókokat és bejelentkezhetnek.
A távoli fejlesztők megosztották a hitelesítő adatokat, és véletlenül felfedték a vállalati adatokat
Úgy tűnik, hogy nincs bizonyíték arra, hogy valaki Husszein előtt felfedezte volna a hitelesítési hibát, és csak remélhetjük, hogy valóban ő volt az első, aki ezt látta, mert a hiba hackerek számára sok érzékeny információhoz lett volna hozzáférve.
A hiba megerősítésére Husszein létrehozott egy fiókot, bejelentkezett, és látta a gyanútlan Remine fejlesztőket, akik jelszavakat, magánkulcsokat és egyéb bejelentkezési adatokat osztottak meg és akaratlanul veszélyeztetik a vállalati és a felhasználói adatokat. Az a puszta tény, hogy a fejlesztők szabadon cserélték a bejelentkezési hitelesítő adatokat, rávilágít a Remine hozzáférés-ellenőrzési politikájának meglehetősen hihetetlen hiányosságaira. Ez a hitelesítési hibával párosítva a támadók számára hatalmas mennyiségű érzékeny információhoz férhetett hozzá.
Két látszólag kicsi hiba súlyos adatsértést eredményezhet
A Remine fejlesztői környezetében szabadon kicserélt hitelesítő adatok egy része védte a vállalat AWS-adatbázisát. Mások a támadók számára hozzáférést biztosítottak volna a platform Slack munkahelyéhez. Más szavakkal: a megosztott információkkal a számítógépes bűnözők sok adathoz hozzáférhetnek volna, amelyeket soha nem szabad kitéve.
Remine nagyon büszke a birtokában lévő nagy mennyiségű információra. Úgy tűnik, hogy az Egyesült Államok nagy részén elterjedt mintegy 150 millió ingatlan adatait tárolja, és amikor Hussein átnézett néhány tárolószerverére, talált egy „egy évtizedes értékű dokumentumokat”, amelyek bérleti megállapodásokat, vevők és eladók címeit tartalmazták. , és egyéb adatok. Maga Whittaker átnézett néhány iratot, és nagyon sok személyes azonosítási információt látott azokról az emberekről, akik Remine szolgáltatásait használják.
A hiba kiaknázása nem volt olyan nehéz, és a lehetséges következmények meglehetősen hatalmasak voltak. Szerencsére Remine tettei azt sugallják, hogy rájönnek, mennyire súlyos a helyzet. Miután segített a probléma felelősségteljes felfedésében, Whittaker beszélt Jonathan Spinetto-val, Remine társalapítójával és a COO-val, aki biztosította neki, hogy megtették a helyes lépéseket. A hitelesítési hiba javításra került, és a külső emberek már nem férhetnek hozzá a vállalat fejlesztőszervereihez. Megváltoztak a magánkulcsok és jelszavak, amelyeket a fejlesztők véletlenül felfedtek, és a cég kiberbiztonsági szakértőket vett fel, akik segítenek a nyomozásban. Amint az eredmények kiderülnek, a Remine szándékában áll minden érintettet tájékoztatni az alkalmazandó adat-megsértési értesítési törvényeknek megfelelően.
Amint Zack Whittaker megjegyezte, Remine az egészből viszonylag sértetlenül jött ki. A sebezhetőség felfedezésének mindenki számára lecke kell lennie. Meg kell tanítania nekünk, hogy még a viszonylag kicsi hibák is komoly következményekkel járhatnak, és hogy egy online platform védelme megköveteli az összes kockázat alapos mérlegelését és a részletekbe szoros figyelmet.
