Con demasiada frecuencia, la seguridad se centra en mantener alejados a los piratas informáticos y las violaciones. Pero en el caso de Recordar una empresa de inteligencia de bienes raíces, dejó sus puertas abiertas para que cualquiera corriera desenfrenado.
Remine es un jugador poco conocido pero importante en el mercado de inteligencia y análisis inmobiliario. Funciona mediante la recopilación y extracción de grandes cantidades de datos inmobiliarios, desde listados públicos hasta datos obtenidos de manera privada de corredores y agentes inmobiliarios de todo Estados Unidos. La compañía, que el año pasado recaudó $ 30 millones en su Serie A para ayudar a expandir su plataforma de datos e inteligencia de bienes raíces, afirma que tiene datos "en 150 millones de propiedades en los 50 estados".
Pero esos datos estaban a solo unos clics de ser fácilmente accesibles, gracias a un sistema mal configurado.
La configuración incorrecta se encontró en el entorno de desarrollo de Remine, que aunque protegido por una contraseña, permite que cualquier persona ajena a la empresa registre una cuenta para iniciar sesión.
Pensando que era un espacio seguro, los desarrolladores de Remine compartieron claves privadas, secretos y otras contraseñas, que si hubieran sido explotadas por un pirata informático malintencionado habrían permitido el acceso a los servidores de almacenamiento de Amazon Web Services, las bases de datos y también el espacio de trabajo privado de la compañía.
Mossab Hussein, investigador de seguridad de la firma de ciberseguridad SpiderSilk, con sede en Dubai, encontró el sistema expuesto e informó los hallazgos a TechCruch para que podamos informar a la compañía sobre el lapso de seguridad.
Dijo que las claves privadas expuestas permitían el acceso total a los servidores de almacenamiento de la compañía, que contenían más de una década de documentos, incluidos títulos de propiedad, contratos de alquiler y direcciones de clientes o vendedores.
Uno de los documentos vistos por TechCrunch mostró información personal, incluidos nombres, domicilios y otra información de identificación personal perteneciente a un inquilino de alquiler.
Después de que TechCrunch se comunicó, el cofundador y director de operaciones de Remine, Jonathan Spinetto, confirmó el lapso de seguridad y que sus claves y secretos privados han sido reemplazados. Spinetto también dijo que ha notificado a los clientes con una carta, vista por TechCrunch. Y, la compañía ha contratado a la firma de ciberseguridad Crypsis para manejar la investigación, y que la compañía "evaluará y cumplirá" con las leyes aplicables de notificación de violación de datos basadas en los resultados de la investigación.
Remine escapó magullado en lugar de violado, una lección para todas las empresas, grandes y pequeñas, de que incluso el error más pequeño puede ser suficiente para causar estragos.
Lee mas:
¿Tienes una propina? Puede enviar consejos de forma segura a través de Signal y WhatsApp al +1 646-755–8849.