Před pár dny zranitelnost byla odhalena v populární online kursové platformě Coursera a je to, že problém, který měl, byl v API, takže věří se, že je velmi možné, že hackeři mohli zneužít zranitelnost „BOLA“ porozumět preferencím kurzů uživatelů a zkreslit možnosti kurzů uživatele.
Kromě toho se také věří, že nedávno odhalené chyby zabezpečení mohly vystavit uživatelská data před opravou. Tyto nedostatky objevili vědci z společnost pro testování zabezpečení aplikací checkmark a zveřejněny během minulého týdne.
Zranitelnosti se týkají různých rozhraní aplikačního programování Coursera a vědci se rozhodli ponořit se do bezpečnosti Coursery kvůli její rostoucí popularitě přechodem na práci a online učení kvůli pandemii COVID-19.
Pro ty, kteří Courseru neznají, měli byste vědět, že se jedná o společnost, která má 82 milionů uživatelů a spolupracuje s více než 200 společnostmi a univerzitami. Pozoruhodná partnerství zahrnují University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University a University of Pennsylvania.
Byly objeveny různé problémy s API, včetně výčtu uživatelů / účtů pomocí funkce resetování hesla, nedostatek zdrojů omezujících jak GraphQL API, tak REST, a nesprávná konfigurace GraphQL. Seznam má na prvním místě problém s autorizací na úrovni poškozeného objektu.
Při interakci s webovou aplikací Coursera jako běžní uživatelé (studenti) jsme si všimli, že v uživatelském rozhraní se zobrazily naposledy zobrazené kurzy. Abychom reprezentovali tyto informace, detekujeme několik požadavků GET API na stejný koncový bod: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.
Chyba zabezpečení BOLA API je popsána jako ovlivněná preference uživatele. Díky této chybě zabezpečení mohli i anonymní uživatelé načíst předvolby, ale také je změnit. Některé z předvoleb, například nedávno zobrazené kurzy a certifikace, také odfiltrují některá metadata. Chyby BOLA v API mohou odhalit koncové body které zpracovávají identifikátory objektů, což by mohlo otevřít dveře širším útokům.
«Tuto chybu zabezpečení bylo možné zneužít k pochopení preferencí kurzů běžných uživatelů ve velkém měřítku, ale také k určitému zkreslení možností uživatelů, protože manipulace s jejich nedávnou aktivitou ovlivnila obsah prezentovaný na domovské stránce Coursera uživatel, “vysvětlují vědci.
„Bohužel problémy s autorizací jsou u API zcela běžné,“ tvrdí vědci. „Je velmi důležité centralizovat validace řízení přístupu do jedné komponenty, dobře testované, průběžně testované a aktivně udržované. Nové koncové body API nebo změny stávajících by měly být pečlivě zkontrolovány s ohledem na jejich bezpečnostní požadavky.
Vědci poznamenali, že problémy s autorizací jsou u API zcela běžné a že jako takové je důležité centralizovat validace řízení přístupu. To musí být provedeno prostřednictvím jediné, dobře otestované a průběžné součásti údržby.
Zjištěné chyby zabezpečení byly 5. října odeslány bezpečnostnímu týmu společnosti Coursera. Potvrzení, že společnost zprávu obdržela a pracuje na ní, přišlo 26. října a Coursera následně napsala Cherkmarxovi s tím, že problémy vyřešily 18. prosince až 2. ledna a Coursera poté zaslala zprávu o novém testu s novým problémem. Konečně, 24. května Coursera potvrdila, že všechny problémy byly opraveny.
I přes poměrně dlouhou dobu od zveřejnění do nápravy vědci uvedli, že s bezpečnostním týmem Coursera bylo potěšením pracovat.
„Těšíme se na jejich profesionalitu a spolupráci, stejně jako na rychlé vlastnictví, které převzali při spolupráci se softwarovými společnostmi,“ uzavírají.
zdroj: https://www.checkmarx.com