Remoção de chaves privadas e senhas compartilhadas descuidadamente, e isso pode ter causado uma violação maciça de dados
Os pesquisadores de segurança provavelmente se cansaram de descobrir e relatar bancos de dados que contêm grandes volumes de informações confidenciais e podem ser acessados de qualquer lugar sem exigir autenticação. É um erro de configuração fácil de evitar que parece ser extremamente comum e, às vezes, as possíveis consequências são graves. A startup imobiliária Remine conseguiu evitar esse erro. A empresa hospeda dados em servidores e bancos de dados da AWS, por exemplo, mas os protegeu com uma senha. Apesar disso, Mossab Hussein, da empresa de segurança cibernética spiderSilk, descobriu uma maneira de acessar todas essas informações. O pesquisador compartilhou suas descobertas com Zack Whittaker, do TechCrunch, que nos deu o resumo completo.
Índice
Remine teve um bug perigoso em seu ambiente de desenvolvimento
O problema não estava na maneira como o Remine armazena seus dados, mas em seu ambiente de desenvolvimento. Como alguns de vocês provavelmente sabem, o ambiente de desenvolvimento é o local em que um provedor de serviços online testa, aperfeiçoa e depura novos recursos antes de liberá-los para o público. Normalmente, apenas desenvolvedores e funcionários teriam acesso à plataforma de desenvolvimento de uma empresa e, no caso do Remine, abri-lo realmente exigia autenticação. Mossab Hussein descobriu, no entanto, que pessoas de fora da empresa poderiam facilmente criar contas e fazer login.
Os desenvolvedores do Remine estavam compartilhando credenciais e, inadvertidamente, expondo dados da empresa
Parece não haver evidências que sugiram que alguém tenha descoberto o bug de autenticação antes de Hussein, e só podemos esperar que ele tenha sido a primeira pessoa a vê-lo porque o erro daria aos hackers acesso a muitas informações confidenciais.
Para confirmar o bug, Hussein criou uma conta, efetuou login e viu desenvolvedores do Remine desavisados que estavam compartilhando senhas, chaves privadas e outros dados de login e inconscientemente colocando em risco os dados da empresa e do usuário. O simples fato de os desenvolvedores trocarem livremente credenciais de login entre si destaca uma imperfeição bastante evidente na política de controle de acesso do Remine. Isso, juntamente com o bug de autenticação, poderia ter dado aos invasores acesso a uma enorme quantidade de informações confidenciais.
Dois erros aparentemente pequenos podem ter resultado em uma violação maciça de dados
Algumas das credenciais trocadas livremente no ambiente de desenvolvimento do Remine protegiam os bancos de dados da AWS da empresa. Outros teriam dado aos atacantes acesso ao local de trabalho Slack da plataforma. Em outras palavras, com as informações compartilhadas, os cibercriminosos poderiam acessar muitos dados que nunca deveriam ser expostos.
Remine está muito orgulhosa do grande volume de informações que possui. Aparentemente, ele armazena detalhes sobre cerca de 150 milhões de propriedades espalhadas pela maior parte dos EUA e, quando Hussein examinou alguns de seus servidores de armazenamento, encontrou "documentos de uma década", que incluíam contratos de aluguel, endereços de compradores e vendedores e outros dados. O próprio Whittaker revisou alguns dos arquivos e viu muitas informações de identificação pessoal de pessoas que usavam os serviços de Remine.
Explorar o bug não era realmente tão difícil, e as possíveis consequências foram bastante enormes. Felizmente, as ações de Remine sugerem que eles percebam a gravidade da situação. Depois de ajudar na divulgação responsável do problema, Whittaker conversou com Jonathan Spinetto, co-fundador e COO de Remine, que garantiu que as medidas corretas foram tomadas. O bug de autenticação foi corrigido e as pessoas externas não podem mais acessar os servidores de desenvolvimento da empresa. As chaves privadas e senhas que foram inadvertidamente expostas pelos desenvolvedores foram alteradas, e a empresa contratou especialistas em segurança cibernética que ajudarão na investigação. Quando os resultados forem divulgados, a Remine pretende informar todos os envolvidos de acordo com as leis de notificação de violação de dados aplicáveis.
Como Zack Whittaker observou, Remine emergiu de tudo relativamente ileso. A descoberta de vulnerabilidades deve ser uma lição para todos, no entanto. Isso deve nos ensinar que mesmo erros relativamente pequenos podem ter grandes consequências e que proteger uma plataforma on-line exige uma análise cuidadosa de todos os riscos e muita atenção aos detalhes.
