Неосторожно перезаписывайте общие личные ключи и пароли, и это могло привести к серьезной утечке данных
Исследователи безопасности, вероятно, устали открывать и составлять отчеты по базам данных, которые содержат большие объемы конфиденциальной информации и к которым можно получить доступ из любой точки мира без необходимости аутентификации. Это легко избежать ошибки конфигурации, которая кажется чрезвычайно распространенной, а иногда и потенциальные последствия являются серьезными. Агентству недвижимости Remine удалось избежать этой ошибки. Например, компания размещает данные на серверах и базах данных AWS, но защищает их паролем. Несмотря на это, Моссаб Хуссейн из компании кибербезопасности spiderSilk обнаружил способ доступа ко всей этой информации. Исследователь поделился своими выводами с Заком Уиттакером из TechCrunch, который дал нам полное изложение.
Table of Contents
У Remine была опасная ошибка в среде разработки
Проблема заключается не в том, как Remine хранит свои данные, а в среде разработки. Как некоторые из вас, вероятно, знают, среда разработки - это место, где поставщик онлайн-услуг тестирует, совершенствует и отлаживает новые функции, прежде чем публиковать их для широкой публики. Обычно только разработчики и сотрудники имеют доступ к платформе разработки компании, и в случае с Remine ее открытие действительно требует аутентификации. Однако Моссаб Хуссейн узнал, что люди вне компании могут легко создавать учетные записи и входить в систему.
Разработчики Remine обменивались учетными данными и непреднамеренно обнародовали данные компании.
Похоже, нет никаких доказательств того, что кому-то удалось обнаружить ошибку аутентификации до Хусейна, и мы можем только надеяться, что он действительно был первым, кто это увидел, потому что ошибка дала бы хакерам доступ к большому количеству конфиденциальной информации.
Чтобы подтвердить ошибку, Хуссейн создал учетную запись, вошел в систему и увидел ничего не подозревающих разработчиков Remine, которые делились паролями, личными ключами и другими данными для входа в систему и невольно подвергали риску данные компании и пользователя. Сам факт того, что разработчики свободно обменивались друг с другом учетными данными, подчеркивает довольно явное несовершенство политики контроля доступа Remine. Это, в сочетании с ошибкой аутентификации, могло дать злоумышленникам доступ к огромному количеству конфиденциальной информации.
Две, казалось бы, мелкие ошибки могли привести к серьезной утечке данных
Некоторые учетные данные, которые свободно обменивались в среде разработки Remine, защищали базы данных AWS компании. Другие дали бы злоумышленникам доступ к рабочему месту платформы Slack. Другими словами, с помощью совместно используемой информации киберпреступники смогли бы получить доступ к большому количеству данных, которые никогда не следует раскрывать.
Remine очень гордится большим объемом информации, которую он хранит. По всей видимости, в нем хранится информация о 150 миллионах объектов недвижимости, разбросанных по большей части США, и когда Хуссейн взглянул на некоторые из своих серверов хранения, он обнаружил «документы на десятилетие», которые включали договоры аренды, адреса покупателей и продавцов. и другие данные. Уиттакер сам просмотрел некоторые файлы и увидел довольно много информации, позволяющей установить личность людей, которые пользовались услугами Ремина.
Эксплуатация ошибки была на самом деле не такой сложной, а потенциальные последствия были довольно значительными. К счастью, действия Ремина предполагают, что они понимают, насколько серьезной была ситуация. После того, как он помог разобраться в проблеме, Уиттакер поговорил с Джонатаном Спинетто, соучредителем Ремина и COO, который заверил его, что были предприняты правильные шаги. Ошибка аутентификации была исправлена, и посторонние люди больше не могут получить доступ к серверам разработки компании. Закрытые ключи и пароли, которые были непреднамеренно предоставлены разработчиками, были изменены, и компания привлекла экспертов по кибербезопасности, которые помогут в расследовании. Как только результаты будут опубликованы, Remine намерена проинформировать всех участников в соответствии с применимыми законами об уведомлении о нарушении данных.
Как отметил Зак Уиттакер, Ремин вышла из всего этого относительно невредимой. Однако обнаружение уязвимости должно стать уроком для всех. Это должно научить нас тому, что даже относительно небольшие ошибки могут иметь серьезные последствия и что защита онлайн-платформы требует тщательного рассмотрения всех рисков и пристального внимания к деталям.
