Tänk på delade privata nycklar och lösenord försiktigt, och det kan ha lett till ett stort dataintrång
Säkerhetsforskare har troligen blivit ganska trötta på att upptäcka och rapportera databaser som innehåller stora volymer känslig information och kan nås var som helst utan att kräva autentisering. Det är ett lätt att undvika konfigurationsfel som verkar vara extremt vanligt, och ibland är de potentiella konsekvenserna allvarliga. Fastighetsstart Remine lyckades undvika detta misstag. Företaget värdar t.ex. data på AWS-servrar och databaser, men det har skyddat det med ett lösenord. Trots detta upptäckte Mossab Hussein från cybersecurity-företaget spiderSilk ett sätt att få tillgång till all den informationen. Forskaren delade sina resultat med TechCrunchs Zach Whittaker, som gav oss den fullständiga översynen.
Table of Contents
Remine hade ett farligt fel i sin utvecklingsmiljö
Problemet låg inte på hur Remine lagrar sina data, utan med dess utvecklingsmiljö. Som vissa av er förmodligen vet är utvecklingsmiljön den plats där en onlinetjänstleverantör testar, perfekterar och felsöker nya funktioner innan de släpps för allmänheten. Normalt skulle bara utvecklare och anställda ha tillgång till ett företags utvecklingsplattform, och när det gäller Remine krävde verkligen autentisering för att öppna den. Mossab Hussein fick dock reda på att personer utanför företaget enkelt kunde skapa konton och logga in.
Remine-utvecklare delade referenser och avslöjade oavsiktligt företagets data
Det verkar inte finnas några bevis som tyder på att någon lyckades upptäcka autentiseringsfelet före Hussein, och vi kan bara hoppas att han verkligen var den första som såg det eftersom misstaget skulle ha gett hackare tillgång till mycket känslig information.
För att bekräfta felet skapade Hussein ett konto, loggade in och såg intetanande Remine-utvecklare som delade lösenord, privata nycklar och annan inloggningsdata och oavsiktligt utsatte företags- och användardata. Det faktum att utvecklare fritt utbytte inloggningsuppgifter med varandra belyser en ganska bländande brist i Remines policy för åtkomstkontroll. Detta, tillsammans med autentiseringsfelet, kunde ha gett angriparna tillgång till en enorm mängd känslig information.
Två till synes små misstag kunde ha resulterat i ett massivt dataintrång
Några av de referenser som fritt utbyttes inom Remines utvecklingsmiljö skyddade företagets AWS-databaser. Andra skulle ha gett angripare tillgång till plattformens Slack-arbetsplats. Med andra ord, med den delade informationen skulle cyberbrottslingar ha kunnat få tillgång till mycket data som aldrig borde utsättas.
Remine är väldigt stolt över den stora mängd information den har. Uppenbarligen lagrar den information om cirka 150 miljoner fastigheter spridda över större delen av USA, och när Hussein tittade på några av dess lagringsservrar, hittade han "ett decenniums värde av dokument", som inkluderade hyresavtal, adresser till köpare och säljare och andra data. Whittaker granskade själv några av filerna, och han såg ganska mycket personlig information om personer som har använt Remines tjänster.
Att utnyttja felet var egentligen inte så svårt, och de potentiella konsekvenserna var ganska massiva. Tack och lov tyder Remines handlingar på att de inser hur allvarlig situationen var. Efter att ha hjälpt till med ansvarsfullt avslöjande av problemet, pratade Whittaker med Jonathan Spinetto, Remines medgrundare och COO, som försäkrade honom att de rätta stegen har vidtagits. Autentiseringsfelet har korrigerats och personer utanför har inte längre åtkomst till företagets utvecklingsservrar. De privata nycklarna och lösenorden som oavsiktligt exponerades av utvecklare har ändrats, och företaget har engagerat cybersecurity-experter som kommer att hjälpa till med utredningen. När resultaten är ute avser Remine att informera alla inblandade i enlighet med gällande lagar om anmälan om dataöverträdelse.
Som Zack Whittaker noterade, kom Remine fram ur hela saken relativt oskadd. Upptäckten om sårbarheten bör dock vara en lektion för alla. Det borde lära oss att även relativt små buggar kan ha stora konsekvenser och att skyddet av en online-plattform kräver noggrant övervägande av alla risker och noggrann uppmärksamhet på detaljer.