En sårbarhed i Coursera API kan muliggøre lækage af brugerdata

Få dage siden en sårbarhed blev afsløret i den populære online kursusplatform Coursera og er, at det problem, han havde, var i API'en, så det menes, at det er meget muligt, at hackere kunne have misbrugt sårbarheden "BOLA" at forstå brugernes kursusindstillinger samt at skæve en brugers kursusindstillinger.

Ud over det faktum, at det også antages, at de for nylig afslørede sårbarheder kunne have eksponeret brugerdata, før de blev repareret. Disse mangler blev opdaget af forskere fra applikationssikkerhedstestfirmaet checkmarx og offentliggjort i løbet af den sidste uge.

Sårbarheder vedrører en række Coursera-programmeringsgrænseflader og forskerne besluttede at fordybe sig i Coursera-sikkerheden på grund af dens stigende popularitet ved at skifte til arbejde og online-læring på grund af COVID-19-pandemien.

For dem der ikke kender Coursera, skal du vide, at dette er et firma, der har 82 millioner brugere og arbejder med mere end 200 virksomheder og universiteter. Bemærkelsesværdige partnerskaber inkluderer University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University og University of Pennsylvania.

Forskellige API-problemer blev opdaget, herunder bruger- / kontotælling via nulstilling af adgangskode, mangel på ressourcer, der begrænser både GraphQL API og REST, og forkert GraphQL-konfiguration. Især er et problem med godkendt objektniveau øverst på listen.

Når vi interagerede med Coursera-webapplikationen som almindelige brugere (studerende), bemærkede vi, at nyligt viste kurser blev vist i brugergrænsefladen. For at repræsentere disse oplysninger registrerer vi flere API GET-anmodninger til det samme slutpunkt: /api/userPreferences.v1/ [USER_ID-lex.europa.eu ~ [FORETRUKNE_TYPE}.

BOLA API-sårbarheden beskrives som berørte brugerindstillinger. Udnyttelse af sårbarheden var selv anonyme brugere i stand til at hente præferencer, men også ændre dem. Nogle af præferencerne, såsom nyligt viste kurser og certificeringer, filtrerer også nogle metadata ud. BOLA-mangler i API'er kan afsløre slutpunkter der håndterer objektidentifikatorer, som kunne åbne døren for bredere angreb.

Denne sårbarhed kunne have været misbrugt for at forstå de almindelige brugeres kursuspræferencer i stor skala, men også for at skæve brugernes valg på en eller anden måde, da manipulationen af ​​deres seneste aktivitet påvirkede indholdet, der blev præsenteret på hjemmesiden Coursera for en bestemt bruger , ”Forklarer forskerne.

"Desværre er autorisationsproblemer ret almindelige med API'er," siger forskerne. ”Det er meget vigtigt at centralisere adgangskontrolvalideringer i en enkelt komponent, godt testet, kontinuerligt testet og aktivt vedligeholdt. Nye API-slutpunkter eller ændringer af eksisterende bør gennemgås nøje i forhold til deres sikkerhedskrav. "

Forskerne bemærkede, at autorisationsproblemer er ret almindelige med API'er, og at det som sådan er vigtigt at centralisere validering af adgangskontrol. Dette skal ske gennem en enkelt, velprøvet og løbende vedligeholdelseskomponent.

Opdagede sårbarheder blev sendt til Courseras sikkerhedsteam den 5. oktober. Bekræftelse af, at virksomheden modtog rapporten og arbejdede på den, kom den 26. oktober, og Coursera skrev efterfølgende Cherkmarx og sagde, at de havde løst problemerne den 18. december til 2. januar, og Coursera sendte derefter en rapport om ny test med et nyt problem. Langt om længe, Den 24. maj bekræftede Coursera, at alle problemer var løst.

På trods af den forholdsvis lange tid fra offentliggørelse til korrektion sagde forskerne, at Coursera-sikkerhedsteamet var en fornøjelse at arbejde med.

"Deres professionalisme og samarbejde samt det hurtige ejerskab, de antog, er det, vi ser frem til, når vi indgår i softwarevirksomheder," konkluderede de.

kilde: https://www.checkmarx.com


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.