Remine Gedeelde privésleutels en wachtwoorden achteloos, en dit zou kunnen hebben geleid tot een enorme datalek
Beveiligingsonderzoekers zijn waarschijnlijk behoorlijk moe geworden van het ontdekken en rapporteren van databases die grote hoeveelheden gevoelige informatie bevatten en die overal toegankelijk zijn zonder authenticatie. Het is een gemakkelijk te vermijden configuratiefout die extreem vaak voorkomt en soms zijn de mogelijke gevolgen ernstig. Opstarten van onroerend goed Remine is erin geslaagd deze fout te voorkomen. Het bedrijf host bijvoorbeeld gegevens op AWS-servers en -databases, maar het heeft het beveiligd met een wachtwoord. Ondanks dit ontdekte Mossab Hussein van cybersecuritybedrijf spiderSilk een manier om toegang te krijgen tot al die informatie. De onderzoeker deelde zijn bevindingen met Zach Whittaker van TechCrunch, die ons het volledige overzicht gaf.
Table of Contents
Remine had een gevaarlijke bug in zijn ontwikkelomgeving
Het probleem lag niet bij de manier waarop Remine zijn gegevens opslaat, maar bij de ontwikkelomgeving. Zoals sommigen van u waarschijnlijk weten, is de ontwikkelomgeving de plek waar een online serviceprovider nieuwe functies test, perfectioneert en debugt voordat ze aan het publiek worden vrijgegeven. Normaal gesproken zouden alleen ontwikkelaars en werknemers toegang hebben tot het ontwikkelingsplatform van een bedrijf, en in het geval van Remine was authenticatie inderdaad vereist. Mossab Hussein ontdekte echter dat mensen buiten het bedrijf gemakkelijk accounts konden aanmaken en inloggen.
Remine-ontwikkelaars deelden inloggegevens en onthulden onbedoeld bedrijfsgegevens
Er lijkt geen bewijs te zijn dat iemand erin slaagde de authenticatiebug voor Hussein te ontdekken, en we kunnen alleen maar hopen dat hij inderdaad de eerste persoon was die het zag, omdat de fout hackers toegang tot veel gevoelige informatie zou hebben gegeven.
Om de bug te bevestigen, creëerde Hussein een account, logde in en zag nietsvermoedende Remine-ontwikkelaars die wachtwoorden, privésleutels en andere inloggegevens deelden en onbewust bedrijfs- en gebruikersgegevens in gevaar brachten. Het enkele feit dat ontwikkelaars inloggegevens vrijelijk met elkaar uitwisselden, wijst op een nogal opvallende imperfectie in het toegangscontrolebeleid van Remine. Dit, in combinatie met de authenticatiebug, had aanvallers toegang kunnen geven tot een enorme hoeveelheid gevoelige informatie.
Twee ogenschijnlijk kleine fouten hadden kunnen leiden tot een enorme datalek
Enkele referenties die vrijelijk binnen de ontwikkelomgeving van Remine werden uitgewisseld, beschermden de AWS-databases van het bedrijf. Anderen zouden aanvallers toegang hebben gegeven tot de Slack-werkplek van het platform. Met andere woorden, met de gedeelde informatie zouden de cybercriminelen toegang hebben kunnen krijgen tot veel gegevens die nooit mogen worden blootgesteld.
Remine is erg trots op de grote hoeveelheid informatie die het bevat. Blijkbaar slaat het details op over ongeveer 150 miljoen eigendommen verspreid over het grootste deel van de VS, en toen Hussein enkele van haar opslagservers bekeek, vond hij "voor tien jaar aan documenten", waaronder huurovereenkomsten, adressen van kopers en verkopers en andere gegevens. Whittaker zelf heeft een aantal van de bestanden bekeken en hij zag behoorlijk wat persoonlijk identificeerbare informatie van mensen die de diensten van Remine hebben gebruikt.
Het exploiteren van de bug was niet zo moeilijk en de mogelijke gevolgen waren behoorlijk groot. Gelukkig suggereren de acties van Remine dat ze beseffen hoe ernstig de situatie was. Na hulp bij de verantwoorde openbaarmaking van het probleem, sprak Whittaker met Jonathan Spinetto, mede-oprichter en COO van Remine, die hem verzekerde dat de juiste stappen zijn gezet. De authenticatiefout is hersteld en externe mensen hebben geen toegang meer tot de ontwikkelingsservers van het bedrijf. De privésleutels en wachtwoorden die onbedoeld door ontwikkelaars zijn blootgelegd, zijn gewijzigd en het bedrijf heeft cybersecurity-experts ingeschakeld die helpen bij het onderzoek. Zodra de resultaten bekend zijn, is Remine van plan om alle betrokkenen op de hoogte te brengen in overeenstemming met de van toepassing zijnde wetgeving op het melden van datalekken.
Zoals Zack Whittaker opmerkte, kwam Remine relatief ongedeerd uit het geheel voort. De ontdekking van de kwetsbaarheid zou echter voor iedereen een les moeten zijn. Het moet ons leren dat zelfs relatief kleine bugs grote gevolgen kunnen hebben en dat het beschermen van een online platform zorgvuldige afweging van alle risico's en veel aandacht voor detail vereist.