Przypomnij sobie niedbale wspólne klucze prywatne i hasła, a to mogło doprowadzić do ogromnego naruszenia danych
Badacze bezpieczeństwa prawdopodobnie zmęczyli się już odkryciem i raportowaniem baz danych, które zawierają duże ilości poufnych informacji i można uzyskać do nich dostęp z dowolnego miejsca bez konieczności uwierzytelniania. Jest to łatwy do uniknięcia błąd konfiguracji, który wydaje się być bardzo powszechny, a czasami potencjalne konsekwencje są poważne. Uruchomienie nieruchomości Remine udało się uniknąć tego błędu. Firma hostuje dane na przykład na serwerach AWS i bazach danych, ale zabezpieczyła je hasłem. Mimo to Mossab Hussein z firmy spiderSilk, firmy zajmującej się cyberbezpieczeństwem, odkrył sposób dostępu do wszystkich tych informacji. Badacz podzielił się swoimi odkryciami Zack Whittaker z TechCruncha, który dał nam pełne podsumowanie.
Table of Contents
Remine miał niebezpieczny błąd w środowisku programistycznym
Problem nie polegał na sposobie przechowywania danych przez Remine, ale na środowisku programistycznym. Jak zapewne niektórzy z was wiedzą, środowisko programistyczne jest miejscem, w którym dostawca usług internetowych testuje, udoskonala i debuguje nowe funkcje przed ich publicznym udostępnieniem. Zwykle tylko programiści i pracownicy mieliby dostęp do firmowej platformy programistycznej, aw przypadku Remine otwarcie jej rzeczywiście wymagało uwierzytelnienia. Mossab Hussein odkrył jednak, że osoby spoza firmy mogą łatwo tworzyć konta i logować się.
Remine programiści dzielili się poświadczeniami i nieumyślnie ujawniali dane firmy
Wydaje się, że nie ma dowodów sugerujących, że komuś udało się wykryć błąd uwierzytelnienia przed Husseinem, i możemy jedynie mieć nadzieję, że rzeczywiście był pierwszą osobą, która go zobaczyła, ponieważ błąd dałby hakerom dostęp do wielu poufnych informacji.
Aby potwierdzić błąd, Hussein utworzył konto, zalogował się i zobaczył niczego nie podejrzewających twórców Remine, którzy dzielili się hasłami, kluczami prywatnymi i innymi danymi logowania i nieświadomie narażali na ryzyko dane firmy i użytkownika. Sam fakt, że programiści swobodnie wymieniali między sobą dane logowania, podkreśla raczej rażącą niedoskonałość polityki kontroli dostępu Remine. To, w połączeniu z błędem uwierzytelnienia, mogło dać atakującym dostęp do ogromnej ilości poufnych informacji.
Dwa pozornie małe błędy mogły spowodować masowe naruszenie danych
Niektóre poświadczenia, które swobodnie wymieniano w środowisku programistycznym Remine, chroniły firmowe bazy danych AWS. Inni zapewniliby atakującym dostęp do miejsca pracy platformy Slack. Innymi słowy, dzięki udostępnionym informacjom cyberprzestępcy byliby w stanie uzyskać dostęp do wielu danych, których nigdy nie należy ujawniać.
Remine jest bardzo dumny z dużej ilości posiadanych informacji. Najwyraźniej przechowuje dane na temat około 150 milionów nieruchomości rozrzuconych po większości Stanów Zjednoczonych, a kiedy Hussein spojrzał na niektóre z jego serwerów pamięci, znalazł „dokumenty warte dziesięciu lat”, w tym umowy najmu, adresy kupujących i sprzedających i inne dane. Sam Whittaker przejrzał niektóre pliki i zobaczył całkiem sporo danych osobowych osób, które korzystały z usług Remine.
Wykorzystanie błędu nie było tak trudne, a potencjalne konsekwencje były dość ogromne. Na szczęście działania Remine sugerują, że zdają sobie sprawę, jak poważna była sytuacja. Po udzieleniu pomocy w odpowiedzialnym ujawnieniu problemu Whittaker rozmawiał z Jonathanem Spinetto, współzałożycielem i dyrektorem generalnym Remine, który zapewnił go, że podjęto właściwe kroki. Błąd uwierzytelnienia został załatany, a osoby z zewnątrz nie mają już dostępu do serwerów programistycznych firmy. Klucze prywatne i hasła, które zostały przypadkowo ujawnione przez programistów, zostały zmienione, a firma zaangażowała ekspertów ds. Cyberbezpieczeństwa, którzy pomogą w dochodzeniu. Po opublikowaniu wyników Remine zamierza poinformować wszystkich zaangażowanych zgodnie z obowiązującymi przepisami dotyczącymi powiadamiania o naruszeniu danych.
Jak zauważył Zack Whittaker, Remine wyłonił się z tego wszystkiego względnie nietknięty. Jednak odkrycie podatności powinno być dla wszystkich lekcją. Powinno nas to nauczyć, że nawet stosunkowo niewielkie błędy mogą mieć poważne konsekwencje, a ochrona platformy internetowej wymaga starannego rozważenia wszystkich zagrożeń i zwrócenia szczególnej uwagi na szczegóły.