Rimani le chiavi e le password private condivise con noncuranza e questo potrebbe aver portato a una massiccia violazione dei dati
I ricercatori della sicurezza si sono probabilmente stancati di scoprire e riportare database che contengono grandi volumi di informazioni sensibili e sono accessibili da qualsiasi luogo senza richiedere l'autenticazione. È un errore di configurazione facile da evitare che sembra essere estremamente comune e, a volte, le potenziali conseguenze sono gravi. L'avvio immobiliare Remine è riuscito a evitare questo errore. La società ospita dati su server e database AWS, ad esempio, ma li ha protetti con una password. Nonostante ciò, Mossab Hussein della società di sicurezza informatica SpiderSilk ha scoperto un modo per accedere a tutte queste informazioni. Il ricercatore ha condiviso le sue scoperte con Zach Whittaker di TechCrunch, che ci ha dato il pieno controllo.
Table of Contents
Remine aveva un bug pericoloso nel suo ambiente di sviluppo
Il problema non stava nel modo in cui Remine memorizza i suoi dati, ma nel suo ambiente di sviluppo. Come alcuni di voi probabilmente sapranno, l'ambiente di sviluppo è il luogo in cui un fornitore di servizi online verifica, perfeziona e esegue il debug di nuove funzionalità prima di rilasciarle al pubblico. Normalmente, solo gli sviluppatori e i dipendenti avrebbero accesso alla piattaforma di sviluppo di un'azienda e, nel caso di Remine, l'apertura richiedeva effettivamente l'autenticazione. Mossab Hussein ha scoperto, tuttavia, che le persone esterne all'azienda potevano facilmente creare account e accedere.
Gli sviluppatori Remine condividevano le credenziali e esponevano inavvertitamente i dati dell'azienda
Sembra che non ci siano prove che suggeriscano che qualcuno sia riuscito a scoprire il bug di autenticazione prima di Saddam Hussein, e possiamo solo sperare che fosse davvero la prima persona a vederlo perché l'errore avrebbe dato agli hacker l'accesso a molte informazioni sensibili.
Per confermare il bug, Hussein ha creato un account, effettuato l'accesso e ha visto sviluppatori ignari Remine che condividevano password, chiavi private e altri dati di accesso e involontariamente mettevano a rischio i dati dell'azienda e dell'utente. Il semplice fatto che gli sviluppatori si scambiassero liberamente le credenziali di accesso tra loro evidenzia un'imperfezione piuttosto evidente nella politica di controllo degli accessi di Remine. Questo, insieme al bug di autenticazione, avrebbe potuto dare agli aggressori l'accesso a un'enorme quantità di informazioni sensibili.
Due errori apparentemente piccoli avrebbero potuto comportare una massiccia violazione dei dati
Alcune delle credenziali scambiate liberamente all'interno dell'ambiente di sviluppo di Remine hanno protetto i database AWS dell'azienda. Altri avrebbero dato agli aggressori l'accesso al posto di lavoro lento della piattaforma. In altre parole, con le informazioni condivise, i criminali informatici sarebbero stati in grado di accedere a molti dati che non dovrebbero mai essere esposti.
Remine è molto orgoglioso del grande volume di informazioni in suo possesso. Apparentemente, memorizza i dettagli su circa 150 milioni di proprietà sparse in gran parte degli Stati Uniti e quando Hussein ha dato un'occhiata ad alcuni dei suoi server di archiviazione, ha trovato "un decennio di documenti", che includevano contratti di affitto, indirizzi di acquirenti e venditori e altri dati. Whittaker stesso ha esaminato alcuni dei file e ha visto un sacco di informazioni di identificazione personale delle persone che hanno utilizzato i servizi di Remine.
Sfruttare il bug non è stato poi così difficile e le potenziali conseguenze sono state piuttosto enormi. Per fortuna, le azioni di Remine suggeriscono che si rendono conto di quanto fosse grave la situazione. Dopo aver contribuito alla divulgazione responsabile del problema, Whittaker ha parlato con Jonathan Spinetto, co-fondatore e COO di Remine, che gli ha assicurato che sono state prese le misure corrette. Il bug di autenticazione è stato corretto e le persone esterne non possono più accedere ai server di sviluppo dell'azienda. Le chiavi private e le password che sono state inavvertitamente esposte dagli sviluppatori sono state modificate e la società ha assunto esperti di sicurezza informatica che aiuteranno nelle indagini. Una volta che i risultati sono stati pubblicati, Remine intende informare tutte le persone coinvolte in conformità con le leggi sulla notifica della violazione dei dati applicabili.
Come notò Zack Whittaker, Remine emerse dall'intera faccenda relativamente incolume. La scoperta della vulnerabilità dovrebbe essere una lezione per tutti, però. Dovrebbe insegnarci che anche i bug relativamente piccoli possono avere conseguenze importanti e che la protezione di una piattaforma online richiede un'attenta valutazione di tutti i rischi e una grande attenzione ai dettagli.
