Husk delte private nøkler og passord uforsiktig, og dette kan ha ført til et massivt datainnbrudd
Sikkerhetsforskere har sannsynligvis blitt ganske lei av å oppdage og rapportere databaser som inneholder store mengder sensitiv informasjon og kan nås fra hvor som helst uten å kreve godkjenning. Det er en lett å unngå konfigurasjonsfeil som ser ut til å være ekstremt vanlig, og noen ganger er de potensielle konsekvensene alvorlige. Oppstart av eiendommer Remine klarte å unngå denne feilen. Selskapet vert for data på AWS-servere og databaser, for eksempel, men det har beskyttet det med et passord. Til tross for dette oppdaget Mossab Hussein fra cybersecurity-selskapet spiderSilk en måte å få tilgang til all den informasjonen. Forskeren delte sine funn med TechCrunchs Zack Whittaker, som ga oss full oversikt.
Table of Contents
Remine hadde en farlig bug i utviklingsmiljøet
Problemet lå ikke i måten Remine lagrer dataene sine på, men med utviklingsmiljøet. Som noen av dere sikkert vet, er utviklingsmiljøet stedet der en online tjenesteleverandør tester, perfeksjonerer og feiler nye funksjoner før de gir dem ut for publikum. Normalt ville bare utviklere og ansatte ha tilgang til et selskaps utviklingsplattform, og i tilfelle Remine, åpning av det krevde faktisk godkjenning. Mossab Hussein fant imidlertid ut at folk utenfor selskapet enkelt kunne opprette kontoer og logge inn.
Husk utviklere delte legitimasjonsbeskrivelser og avslørte uforvarende bedriftsdata
Det ser ikke ut til å være holdepunkter for at noen klarte å oppdage autentiseringsfeilen før Hussein, og vi kan bare håpe at han faktisk var den første personen som så den fordi feilen ville gitt hackere tilgang til mye sensitiv informasjon.
For å bekrefte feilen opprettet Hussein en konto, logget på og så intetanende Remine-utviklere som delte passord, private nøkler og andre innloggingsdata og uforvarende satte firma- og brukerdata i fare. Bare det faktum at utviklere fritt utvekslet innloggingsinformasjoner med hverandre, fremhever en ganske lysende ufullkommenhet i Remines retningslinjer for tilgangskontroll. Dette, sammen med autentiseringsfeilen, kunne gitt angripere tilgang til en enorm mengde sensitiv informasjon.
To tilsynelatende små feil kunne ha resultert i et massivt datainnbrudd
Noen av legitimasjonene som fritt ble utvekslet i Remines utviklingsmiljø beskyttet selskapets AWS-databaser. Andre ville gitt angripere tilgang til plattformens Slack-arbeidsplass. Med andre ord, med den delte informasjonen, ville nettkriminelle kunne ha tilgang til mye data som aldri skulle bli utsatt.
Remine er veldig stolt over det store volumet av informasjon den har. Tilsynelatende lagrer den detaljer om rundt 150 millioner eiendommer spredt rundt i det meste av USA, og da Hussein tok en titt på noen av lagringsserverne sine, fant han "et tiårs dokumentverdier", som inkluderer husleiavtaler, adresser til kjøpere og selgere og andre data. Whittaker har selv gjennomgått noen av filene, og han så ganske mye personlig identifiserbar informasjon om personer som har brukt Remines tjenester.
Å utnytte feilen var egentlig ikke så vanskelig, og de potensielle konsekvensene var ganske massive. Heldigvis antyder Remines handlinger at de innser hvor alvorlig situasjonen var. Etter å ha hjulpet til med den ansvarlige avsløringen av problemet, snakket Whittaker med Jonathan Spinetto, Remines medgründer og COO, som forsikret ham om at de riktige trinnene er tatt. Autentiseringsfeilen er blitt oppdatert, og utenfor mennesker kan ikke lenger få tilgang til selskapets utviklingsservere. De private nøklene og passordene som utilsiktet ble eksponert av utviklere har blitt endret, og selskapet har engasjert cybersecurity-eksperter som vil hjelpe med etterforskningen. Når resultatene er ute, planlegger Remine å informere alle involverte i samsvar med gjeldende lover om varsling av databrudd.
Som Zack Whittaker bemerket, kom Remine frem fra hele saken relativt uskadd. Sårbarhetsoppdagelsen bør imidlertid være en leksjon for alle. Det skal lære oss at selv relativt små bugs kan ha store konsekvenser, og at det å beskytte en online plattform krever nøye vurdering av alle risikoer og nøye oppmerksomhet på detaljer.