Remine Gedeelde privésleutels en wachtwoorden achteloos, en dit zou kunnen hebben geleid tot een enorme datalek

Remine Authentication Vulnerability

Beveiligingsonderzoekers zijn waarschijnlijk behoorlijk moe geworden van het ontdekken en rapporteren van databases die grote hoeveelheden gevoelige informatie bevatten en die overal toegankelijk zijn zonder authenticatie. Het is een gemakkelijk te vermijden configuratiefout die extreem vaak voorkomt en soms zijn de mogelijke gevolgen ernstig. Opstarten van onroerend goed Remine is erin geslaagd deze fout te voorkomen. Het bedrijf host bijvoorbeeld gegevens op AWS-servers en -databases, maar het heeft het beveiligd met een wachtwoord. Ondanks dit ontdekte Mossab Hussein van cybersecuritybedrijf spiderSilk een manier om toegang te krijgen tot al die informatie. De onderzoeker deelde zijn bevindingen met Zach Whittaker van TechCrunch, die ons het volledige overzicht gaf.

Remine had een gevaarlijke bug in zijn ontwikkelomgeving

Het probleem lag niet bij de manier waarop Remine zijn gegevens opslaat, maar bij de ontwikkelomgeving. Zoals sommigen van u waarschijnlijk weten, is de ontwikkelomgeving de plek waar een online serviceprovider nieuwe functies test, perfectioneert en debugt voordat ze aan het publiek worden vrijgegeven. Normaal gesproken zouden alleen ontwikkelaars en werknemers toegang hebben tot het ontwikkelingsplatform van een bedrijf, en in het geval van Remine was authenticatie inderdaad vereist. Mossab Hussein ontdekte echter dat mensen buiten het bedrijf gemakkelijk accounts konden aanmaken en inloggen.

Remine-ontwikkelaars deelden inloggegevens en onthulden onbedoeld bedrijfsgegevens

Er lijkt geen bewijs te zijn dat iemand erin slaagde de authenticatiebug voor Hussein te ontdekken, en we kunnen alleen maar hopen dat hij inderdaad de eerste persoon was die het zag, omdat de fout hackers toegang tot veel gevoelige informatie zou hebben gegeven.

Om de bug te bevestigen, creëerde Hussein een account, logde in en zag nietsvermoedende Remine-ontwikkelaars die wachtwoorden, privésleutels en andere inloggegevens deelden en onbewust bedrijfs- en gebruikersgegevens in gevaar brachten. Het enkele feit dat ontwikkelaars inloggegevens vrijelijk met elkaar uitwisselden, wijst op een nogal opvallende imperfectie in het toegangscontrolebeleid van Remine. Dit, in combinatie met de authenticatiebug, had aanvallers toegang kunnen geven tot een enorme hoeveelheid gevoelige informatie.

Twee ogenschijnlijk kleine fouten hadden kunnen leiden tot een enorme datalek

Enkele referenties die vrijelijk binnen de ontwikkelomgeving van Remine werden uitgewisseld, beschermden de AWS-databases van het bedrijf. Anderen zouden aanvallers toegang hebben gegeven tot de Slack-werkplek van het platform. Met andere woorden, met de gedeelde informatie zouden de cybercriminelen toegang hebben kunnen krijgen tot veel gegevens die nooit mogen worden blootgesteld.

Remine is erg trots op de grote hoeveelheid informatie die het bevat. Blijkbaar slaat het details op over ongeveer 150 miljoen eigendommen verspreid over het grootste deel van de VS, en toen Hussein enkele van haar opslagservers bekeek, vond hij "voor tien jaar aan documenten", waaronder huurovereenkomsten, adressen van kopers en verkopers en andere gegevens. Whittaker zelf heeft een aantal van de bestanden bekeken en hij zag behoorlijk wat persoonlijk identificeerbare informatie van mensen die de diensten van Remine hebben gebruikt.

Het exploiteren van de bug was niet zo moeilijk en de mogelijke gevolgen waren behoorlijk groot. Gelukkig suggereren de acties van Remine dat ze beseffen hoe ernstig de situatie was. Na hulp bij de verantwoorde openbaarmaking van het probleem, sprak Whittaker met Jonathan Spinetto, mede-oprichter en COO van Remine, die hem verzekerde dat de juiste stappen zijn gezet. De authenticatiefout is hersteld en externe mensen hebben geen toegang meer tot de ontwikkelingsservers van het bedrijf. De privésleutels en wachtwoorden die onbedoeld door ontwikkelaars zijn blootgelegd, zijn gewijzigd en het bedrijf heeft cybersecurity-experts ingeschakeld die helpen bij het onderzoek. Zodra de resultaten bekend zijn, is Remine van plan om alle betrokkenen op de hoogte te brengen in overeenstemming met de van toepassing zijnde wetgeving op het melden van datalekken.

Zoals Zack Whittaker opmerkte, kwam Remine relatief ongedeerd uit het geheel voort. De ontdekking van de kwetsbaarheid zou echter voor iedereen een les moeten zijn. Het moet ons leren dat zelfs relatief kleine bugs grote gevolgen kunnen hebben en dat het beschermen van een online platform zorgvuldige afweging van alle risico's en veel aandacht voor detail vereist.

Tegen Duran
February 26, 2020
News
Nederlands
February 26, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.