粗心地取消共享的私鑰和密碼，這可能會導致大規模的數據洩露

安全研究人員可能已經厭倦了發現和報告包含大量敏感信息並且可以從任何地方訪問而無需身份驗證的數據庫。這是一個易於避免的配置錯誤，這種錯誤似乎非常普遍，有時，潛在的後果也很嚴重。房地產創業公司Remine設法避免了這個錯誤。例如，該公司確實將數據託管在AWS服務器和數據庫上，但已使用密碼對其進行了保護。儘管如此，網絡安全公司spiderSilk的Mossab Hussein發現了一種訪問所有信息的方法。研究人員與TechCrunch的Zach Whittaker分享了他的發現，後者給了我們完整的摘要。

Remine在其開發環境中存在一個危險的錯誤

問題不在於Remine存儲數據的方式，而在於開發環境。你們中有些人可能知道，開發環境是在線服務提供商在向公眾發布新功能之前對其進行測試，完善和調試的地方。通常，只有開發人員和員工才能訪問公司的開發平台，對於Remine，打開它確實需要身份驗證。但是，Mossab Hussein發現，公司外部的人員可以輕鬆創建帳戶並登錄。

Remine開發人員正在共享憑據，並且無意間公開了公司數據

似乎沒有證據表明有人設法在侯賽因之前發現了身份驗證錯誤，並且我們只能希望他確實是第一個看到此身份驗證錯誤的人，因為該錯誤會使黑客獲得許多敏感信息。

為了確認該錯誤，侯賽因創建了一個帳戶，登錄並看到毫無戒備的Remine開發人員，他們共享密碼，私鑰和其他登錄數據，並無意中使公司和用戶數據面臨風險。開發人員可以彼此自由交換登錄憑據這一事實，凸顯了Remine的訪問控制策略中一個相當明顯的缺陷。這加上身份驗證錯誤，可能使攻擊者可以訪問大量敏感信息。

兩個看似很小的錯誤可能會導致大規模數據洩露

在Remine的開發環境中自由交換的一些憑證保護了該公司的AWS數據庫。其他人將使攻擊者可以訪問平台的Slack工作場所。換句話說，有了共享的信息，網絡罪犯將能夠訪問很多本不應公開的數據。

Remine為其擁有的大量信息而感到自豪。顯然，它存儲了遍布美國大部分地區的約1.5億處房產的詳細信息，當侯賽因查看其一些存儲服務器時，他發現“十年的文件價值”，其中包括租金協議，買賣雙方的地址以及其他數據。惠特克本人檢查了一些文件，並且他看到了很多使用雷明（Remine）服務的人的個人身份信息。

利用該漏洞並不是真的那麼困難，而且潛在的後果是巨大的。值得慶幸的是，雷內的行動表明他們意識到局勢的嚴重性。在幫助以負責任的態度披露問題之後，惠特克與雷尼（Remine）的聯合創始人兼首席運營官喬納森·斯皮內托（Jonathan Spinetto）進行了交談，後者向他保證已採取了正確的步驟。身份驗證錯誤已修復，外部人員無法再訪問公司的開發服務器。開發人員無意中公開的私鑰和密碼已更改，該公司已聘請網絡安全專家來協助調查。結果公佈後，Remine打算根據適用的數據洩露通知法律通知有關人員。

正如扎克·惠特克（Zack Whittaker）指出的那樣，雷蒙（Remine）從相對不受傷害的整個事物中脫穎而出。但是，發現漏洞對於每個人都是一個教訓。它應該告訴我們，即使是相對較小的錯誤也可能造成嚴重後果，並且保護在線平台也需要仔細考慮所有風險並密切關注細節。