Una vulnerabilità in l'API Coursera puderia permette a fuga di dati di l'utilizatori

Pochi ghjorni fà una vulnerabilità hè stata divulgata in a pupulare piattaforma di corsi in linea Coursera è hè chì u prublema ch'ellu avia era in l'API, cusì si crede chì hè assai pussibule chì i pirati anu abusatu di a vulnerabilità "BOLA" per capisce e preferenze di corsu di l'utilizatori, è ancu per sbandite l'opzioni di corsu di un utilizatore.

Inoltre, si crede ancu chì vulnerabilità rivelate di pocu pudianu avè espostu i dati di l'utente prima di esse riparati. Quessi difetti sò stati scuperti da circadori da a cumpagnia di prova di sicurezza di l'applicazione Checkmarx è publicatu durante a settimana passata.

Vulnerabilità si raportanu à una varietà di interfacce di prugrammazione di l'applicazione Coursera è i circadori anu decisu d'andà in a securità di Coursera per via di a so pupularità crescente attraversu u passaghju à u travagliu è l'apprendimentu in ligna per via di a pandemia COVID-19.

Per quelli chì ùn cunnoscenu micca Coursera, duvete sapè chì si tratta di una sucietà chì hà 82 milioni d'utilizatori è travaglia cù più di 200 cumpagnie è università. I partenariati notevuli includenu l'Università di l'Illinois, l'Università Duke, Google, l'Università di Michigan, International Business Machines, l'Imperial College di Londra, l'Università di Stanford è l'Università di Pennsylvania.

Diversi prublemi API sò stati scuperti cumpresi enumerazione d'utilizatore / contu via funzione di resettazione di password, mancanza di risorse chì limitanu à tempu l'API GraphQL è REST, è cunfigurazione GraphQL incorrecta. In particulare, un prublema di autorizazione di u nivellu di ughjettu rottu hè in cima à a lista.

Quandu si interagisce cù l'applicazione web Coursera cum'è utenti regulari (studenti), avemu rimarcatu chì i corsi visualizzati di recente sò stati visualizzati in l'interfaccia di l'utente. Per raprisentà queste informazioni, rilevemu parechje richieste GET API à u listessu endpoint: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

A vulnerabilità di l'API BOLA hè descritta cum'è preferenze di l'utente affette. Aprufittendu di a vulnerabilità, ancu l'utilizatori anonimi anu sappiutu recuperà e preferenze, ma ancu cambialle. Alcune di e preferenze, cume corsi è certificazioni visualizzati di recente, filtranu ancu alcuni metadati. I difetti BOLA in APIs ponu espone endpoints chì gestiscenu identificatori d'oggetti, chì puderebbenu apre a porta à attacchi più larghi.

"Questa vulnerabilità puderia esse stata abusata per capisce e preferenze di corsu di l'utenti generali à larga scala, ma ancu per distorsione di e scelte di l'utenti in qualchì modu, chì a manipulazione di a so attività recente hà influenzatu u cuntenutu presentatu in a pagina iniziale Coursera per un specificu utilizatore ", spieganu i circadori.

"Sfurtunatamente, i prublemi d'auturizazione sò abbastanza cumuni cù l'APIs", dicenu i circadori. «Hè assai impurtante di centralizà e cunvalidazioni di u cuntrollu di l'accessu in una sola cumpunente, ben pruvata, pruvata in permanenza è mantenuta attivamente. I novi endpoint API, o cambiamenti à quelli esistenti, devenu esse riveduti attentamente contr'à i so requisiti di sicurezza. "

I circadori anu rimarcatu chì i prublemi d'auturizazione sò abbastanza cumuni cù l'APIs è chì per quessa hè impurtante centralizà e validazioni di u cuntrollu di l'accessu. Fà cusì deve esse fattu per mezu di una sola componente di manutenzione unica, ben testata è in corso.

E vulnerabilità scuperte sò state inviate à a squadra di sicurezza di Coursera u 5 d'ottobre. A cunfirmazione chì a sucietà hà ricevutu u rapportu è chì stava travagliendu hè ghjunta u 26 d'ottobre, è Coursera hà scrittu dopu Cherkmarx dicendu chì avianu risolvutu i prublemi da u 18 di dicembre à u 2 di ghjennaghju è Coursera hà mandatu un rapportu di novu test cù un novu prublema. Infine, U 24 di maghju, Coursera hà cunfirmatu chì tutti i prublemi sò stati risolti.

Malgradu u tempu abbastanza longu da a divulgazione à a currezzione, i circadori anu dettu chì a squadra di securità di Coursera era un piacè di travaglià.

"A so prufessionalità è a so cooperazione, è a rapidità di pruprietà ch'elli anu presu, hè ciò chì aspittemu cun impazienza cù e cumpagnie di software", anu cunclusu.

source: https://www.checkmarx.com


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu. campi, nicissarii sò marcati cù *

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.