Atsargiai bendrinkite asmeninius raktus ir slaptažodžius, ir tai galėjo lemti didžiulį duomenų pažeidimą
Saugumo tyrinėtojai tikriausiai jau pavargo atradę ir pateikdami duomenų bazes, kuriose yra daug neskelbtinos informacijos ir kuriomis galima prieiti iš bet kur, nereikalaujant autentifikacijos. Tai labai lengvai išvengiama konfigūracijos klaida, kuri atrodo labai dažna, o kartais galimos pasekmės yra sunkios. Nekilnojamojo turto startuoliui „Remine“ pavyko išvengti šios klaidos. Pavyzdžiui, bendrovė priima duomenis AWS serveriuose ir duomenų bazėse, tačiau ji juos apsaugojo slaptažodžiu. Nepaisant to, Mossabas Husseinas iš kibernetinio saugumo bendrovės „spiderSilk“ atrado būdą, kaip pasiekti visą tą informaciją. Tyrėjas pasidalino savo išvadomis su „TechCrunch“ darbuotoju Zachu Whittakeriu, kuris mums suteikė visišką paneigimą.
Table of Contents
Remine savo vystymosi aplinkoje turėjo pavojingą klaidą
Problema kyla ne dėl to, kaip „Remine“ saugo savo duomenis, o su jo kūrimo aplinka. Kaip kai kurie iš jūsų tikriausiai žinote, kūrimo aplinka yra ta vieta, kur internetinių paslaugų teikėjas išbando, tobulina ir derina naujas funkcijas prieš išleisdamas jas visuomenei. Paprastai tik kūrėjai ir darbuotojai turėtų prieigą prie įmonės plėtros platformos, o „Remine“ atveju, norint ją atidaryti, reikėjo autentifikuoti. Tačiau Mossabas Husseinas išsiaiškino, kad žmonės, nepriklausantys įmonei, gali lengvai susikurti paskyras ir prisijungti.
Reminai kūrėjai dalijosi įgaliojimais ir netyčia atskleidė įmonės duomenis
Atrodo, kad nėra įrodymų, leidžiančių manyti, kad kam nors prieš Husseiną pavyko sužinoti autentifikavimo klaidą, ir mes galime tikėtis, kad jis iš tikrųjų buvo pirmasis asmuo, kuris tai pamatė, nes ši klaida įsilaužėliams būtų suteikusi prieigą prie daugybės neskelbtinos informacijos.
Norėdami patvirtinti klaidą, Husseinas sukūrė sąskaitą, prisijungė ir pamatė neįtariančius „Remine“ kūrėjus, kurie dalijosi slaptažodžiais, asmeniniais raktais ir kitais prisijungimo duomenimis ir nesąmoningai rizikavo įmonės ir vartotojo duomenimis. Jau vien tai, kad kūrėjai laisvai keitė prisijungimo duomenis, rodo gana akivaizdų „Remine“ prieigos kontrolės politikos netobulumą. Tai kartu su autentifikavimo klaida galėjo suteikti užpuolikams prieigą prie nepaprastai daug neskelbtinos informacijos.
Dvi, atrodytų, nedidelės klaidos galėjo padaryti didžiulį duomenų pažeidimą
Kai kurie įgaliojimai, kuriais laisvai buvo keičiamasi „Remine“ kūrimo aplinkoje, apsaugojo bendrovės AWS duomenų bazes. Kiti užpuolikams būtų suteikę galimybę patekti į platformos „Slack“ darbo vietą. Kitaip tariant, turėdami bendrą informaciją, kibernetiniai nusikaltėliai būtų galėję pasiekti daug duomenų, kurie niekada neturėtų būti paviešinti.
Remine labai didžiuojasi didžiuliu turimos informacijos kiekiu. Matyt, jame saugoma informacija apie maždaug 150 milijonų nekilnojamojo turto, išsidėsčiusio po didžiąją dalį JAV, ir kai Husseinas apžiūrėjo kai kuriuos jo saugojimo serverius, jis rado „dešimtmečio vertės dokumentus“, apimančius nuomos sutartis, pirkėjų ir pardavėjų adresus. , ir kiti duomenys. Pats Whittakeris peržiūrėjo kai kurias bylas ir pamatė gana daug asmeniškai identifikuojamos informacijos apie žmones, kurie naudojosi Remine paslaugomis.
Išnaudoti klaidą iš tikrųjų nebuvo taip sunku, o galimos pasekmės buvo gana didžiulės. Laimei, Remine'o veiksmai leidžia suprasti, kokia padėtis buvo rimta. Padėjęs atsakingai atskleisti problemą, Whittakeris kalbėjosi su Remine įkūrėju ir COO Jonathanu Spinetto, kuris patikino, kad buvo imtasi teisingų veiksmų. Autentifikacijos klaida buvo ištaisyta, ir išoriniai žmonės nebegali pasiekti įmonės plėtros serverių. Buvo pakeisti privačių raktų ir slaptažodžių, kuriuos netyčia atskleidė kūrėjai, kompanija pasamdė kibernetinio saugumo ekspertus, kurie padės atlikti tyrimą. Kai rezultatai nebus pateikti, Remine ketina informuoti visus susijusius asmenis pagal galiojančius pranešimo apie duomenų pažeidimus įstatymus.
Kaip pažymėjo Zackas Whittakeris, Remine iš esmės atsirado visai be žalos. Vis dėlto pažeidžiamumo atradimas turėtų būti pamoka visiems. Tai turėtų mus išmokyti, kad net palyginti nedidelės klaidos gali sukelti didelių padarinių ir kad norint apsaugoti internetinę platformą reikia atidžiai apsvarstyti visą riziką ir atidžiai atkreipti dėmesį į detales.
