粗心地取消共享的私钥和密码，这可能会导致大规模的数据泄露

安全研究人员可能已经厌倦了发现和报告包含大量敏感信息并且可以从任何地方访问而无需身份验证的数据库。这是一个易于避免的配置错误，这种错误似乎非常普遍，有时，潜在的后果也很严重。房地产创业公司Remine设法避免了这个错误。例如，该公司确实将数据托管在AWS服务器和数据库上，但已使用密码对其进行了保护。尽管如此，网络安全公司spiderSilk的Mossab Hussein发现了一种访问所有信息的方法。研究人员与TechCrunch的Zach Whittaker分享了他的发现，后者给了我们完整的摘要。

Remine在其开发环境中存在一个危险的错误

问题不在于Remine存储数据的方式，而在于开发环境。你们中有些人可能知道，开发环境是在线服务提供商在向公众发布新功能之前对其进行测试，完善和调试的地方。通常，只有开发人员和员工才能访问公司的开发平台，对于Remine，打开它确实需要身份验证。但是，Mossab Hussein发现，公司外部的人员可以轻松创建帐户并登录。

Remine开发人员共享凭据，并且无意间公开了公司数据

似乎没有证据表明有人设法在侯赛因之前发现了身份验证错误，我们只能希望他确实是第一个看到此身份验证错误的人，因为该错误会使黑客获得许多敏感信息。

为了确认该错误，侯赛因创建了一个帐户，登录并看到毫无戒备的Remine开发人员，他们共享密码，私钥和其他登录数据，并无意中使公司和用户数据面临风险。开发人员可以自由交换彼此的登录凭据这一事实，凸显了Remine的访问控制策略中一个相当明显的缺陷。这加上身份验证错误，可能使攻击者可以访问大量敏感信息。

两个看似很小的错误可能会导致大规模数据泄露

在Remine的开发环境中自由交换的一些凭证可以保护公司的AWS数据库。其他人将使攻击者可以访问平台的Slack工作场所。换句话说，有了共享的信息，网络罪犯将能够访问很多本不应公开的数据。

Remine为其拥有的大量信息而感到自豪。显然，它存储了遍布美国大部分地区的约1.5亿处房产的详细信息，当侯赛因查看其一些存储服务器时，他发现“十年的文件价值”，其中包括租金协议，买卖双方的地址以及其他数据。惠特克本人检查了一些文件，并且他看到了很多使用雷明（Remine）服务的人的个人身份信息。

利用该漏洞并不是真的那么困难，而且潜在的后果是巨大的。值得庆幸的是，雷内的行动表明他们意识到局势的严重性。在帮助以负责任的态度披露问题之后，惠特克与雷尼（Remine）的联合创始人兼首席运营官乔纳森·斯皮内托（Jonathan Spinetto）进行了交谈，后者向他保证已采取了正确的步骤。身份验证错误已修复，并且外部人员无法再访问公司的开发服务器。开发人员无意中公开的私钥和密码已更改，该公司已聘请网络安全专家来协助调查。结果公布后，Remine打算根据适用的数据泄露通知法律通知有关人员。

正如扎克·惠特克（Zack Whittaker）指出的那样，雷蒙（Remine）从相对不受伤害的整个事物中脱颖而出。但是，发现漏洞对于每个人都是一个教训。它应该告诉我们，即使是相对较小的错误也可能造成严重后果，并且保护在线平台也需要仔细考虑所有风险并密切关注细节。