共有秘密鍵とパスワードを不注意にリマイニングすると、大量のデータ侵害につながる可能性があります
セキュリティ研究者はおそらく、大量の機密情報を含み、認証を必要とせずにどこからでもアクセスできるデータベースの発見と報告にうんざりしているでしょう。これは回避が容易な設定ミスであり、非常に一般的であるように見えますが、潜在的な結果が深刻な場合もあります。不動産のスタートアップRemineは、この間違いを何とか回避しました。たとえば、会社はAWSサーバーやデータベースでデータをホストしていますが、パスワードで保護しています。それにもかかわらず、サイバーセキュリティ会社spiderSilkのMossab Husseinは、すべての情報にアクセスする方法を発見しました。研究者は私たちに与えたのTechCrunchのザックウィテカー、と彼の調査結果を共有し、フルランダウンを。
Table of Contents
Remineの開発環境には危険なバグがありました
問題は、Remineがデータを保存する方法ではなく、開発環境にありました。ご存知の方も多いと思いますが、開発環境は、オンラインサービスプロバイダーが新機能を一般公開する前にテスト、完成、デバッグする場所です。通常、開発者と従業員のみが会社の開発プラットフォームにアクセスできます。Remineの場合、それを開くには実際に認証が必要でした。しかし、Mossab Husseinは、社外の人でも簡単にアカウントを作成してログインできることを発見しました。
Remine開発者は資格情報を共有しており、企業データを不注意に公開していた
フセインの前に誰かが認証バグを発見したことを示唆する証拠はないようです。間違いがハッカーに多くの機密情報へのアクセスを与えたので、彼が実際にそれを見る最初の人物であることを願うだけです。
バグを確認するために、フセインはアカウントを作成してログインし、パスワード、秘密鍵、その他のログインデータを共有し、会社やユーザーのデータを意図せずに危険にさらしている疑いを持たないRemine開発者を見ました。開発者が相互にログイン資格情報を自由に交換しているという単なる事実は、Remineのアクセス制御ポリシーにおけるかなり明白な欠陥を強調しています。これは、認証のバグと相まって、攻撃者に膨大な量の機密情報へのアクセスを与える可能性がありました。
2つの一見小さな間違いが大量のデータ侵害につながる可能性がありました
Remineの開発環境内で自由に交換された資格情報の一部は、会社のAWSデータベースを保護しました。他の人は、プラットフォームのSlackワークプレースへのアクセスを攻撃者に許可していたでしょう。つまり、情報が共有されていれば、サイバー犯罪者は決して公開されるべきではない多くのデータにアクセスできたはずです。
Remineは、保持している大量の情報を非常に誇りに思っています。どうやら、米国の大部分に広がる約1億5千万件の物件の詳細が保存されており、フセインがストレージサーバーの一部を調べたときに、賃貸契約、買い手と売り手の住所を含む「10年分の文書」が見つかりました。 、およびその他のデータ。 Whittaker自身がいくつかのファイルをレビューし、Remineのサービスを利用した人の個人を特定できる情報を非常に多く見ました。
バグを悪用することはそれほど難しくなく、潜在的な結果は非常に大きなものでした。ありがたいことに、Remineの行動は、状況がどれほど深刻であるかを認識していることを示唆しています。問題の責任ある開示を支援した後、Whittakerは、Remineの共同設立者でCOOであるJonathan Spinettoに話し、正しい措置が取られたことを保証しました。認証のバグは修正されており、外部の人は会社の開発サーバーにアクセスできなくなりました。開発者によって意図せずに公開された秘密キーとパスワードは変更されており、調査を支援するサイバーセキュリティの専門家を雇用しています。結果が出たら、Remineは、該当するデータ侵害通知法に従って関係者全員に通知する予定です。
Zack Whittakerが指摘したように、Remineは比較的無傷で全体から出現しました。ただし、脆弱性の発見はすべての人にとっての教訓であるはずです。比較的小さなバグでも重大な結果をもたらす可能性があり、オンラインプラットフォームを保護するには、すべてのリスクを慎重に検討し、詳細に細心の注意を払う必要があることを教えてください。