Une vulnérabilité dans l'API Coursera pourrait permettre la fuite de données utilisateur

Il ya quelques jours une vulnérabilité a été révélée dans la populaire plate-forme de cours en ligne Coursera et est-ce que le problème qu'il avait était dans l'API, donc on pense qu'il est très possible que des pirates aient abusé de la vulnérabilité "BOLA" pour comprendre les préférences de cours des utilisateurs, ainsi que pour fausser les options de cours d'un utilisateur.

En plus du fait que l'on pense également que les vulnérabilités récemment révélées pourraient avoir exposé les données des utilisateurs avant d'être réparées. Celles-ci des défauts ont été découverts par des chercheurs de la société de test de sécurité des applications Checkmarx et publié la semaine dernière.

Vulnérabilités se rapportent à une variété d'interfaces de programmation d'applications Coursera et les chercheurs ont décidé de se pencher sur la sécurité de Coursera en raison de sa popularité croissante grâce au passage au travail et à l'apprentissage en ligne en raison de la pandémie de COVID-19.

Pour ceux qui ne connaissent pas Coursera, sachez qu'il s'agit d'une entreprise qui compte 82 millions d'utilisateurs et travaille avec plus de 200 entreprises et universités. Les partenariats notables incluent l'Université de l'Illinois, l'Université Duke, Google, l'Université du Michigan, International Business Machines, l'Imperial College de Londres, l'Université de Stanford et l'Université de Pennsylvanie.

Divers problèmes d'API ont été découverts, notamment l'énumération des utilisateurs / comptes via la fonction de réinitialisation du mot de passe, manque de ressources limitant à la fois l'API GraphQL et REST, et configuration GraphQL incorrecte. En particulier, un problème d'autorisation au niveau de l'objet cassé arrive en tête de liste.

Lors de l'interaction avec l'application Web Coursera en tant qu'utilisateurs réguliers (étudiants), nous avons remarqué que les cours récemment consultés étaient affichés dans l'interface utilisateur. Afin de représenter ces informations, nous détectons plusieurs requêtes API GET vers le même point de terminaison : /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

La vulnérabilité de l'API BOLA est décrite comme étant les préférences utilisateur affectées. Profitant de la vulnérabilité, même les utilisateurs anonymes ont pu récupérer leurs préférences, mais aussi les modifier. Certaines préférences, telles que les cours et les certifications récemment consultés, filtrent également certaines métadonnées. Les failles BOLA dans les API peuvent exposer les points de terminaison qui gèrent les identifiants d'objets, ce qui pourrait ouvrir la porte à des attaques plus larges.

Cette vulnérabilité aurait pu être exploitée pour comprendre les préférences de cours des utilisateurs généraux à grande échelle, mais aussi pour fausser les choix des utilisateurs d'une manière ou d'une autre, car la manipulation de leur activité récente affectait le contenu présenté sur la page d'accueil Coursera pour un utilisateur spécifique. », expliquent les chercheurs.

"Malheureusement, les problèmes d'autorisation sont assez fréquents avec les API", déclarent les chercheurs. « Il est très important de centraliser les validations de contrôle d'accès dans un seul composant, bien testé, continuellement testé et activement maintenu. Les nouveaux points de terminaison d'API, ou les modifications apportées à ceux existants, doivent être soigneusement examinés par rapport à leurs exigences de sécurité. "

Les chercheurs ont noté que les problèmes d'autorisation sont assez fréquents avec les API et qu'à ce titre, il est important de centraliser les validations de contrôle d'accès. Cela doit se faire par le biais d'un composant de maintenance unique, bien testé et continu.

Les vulnérabilités découvertes ont été soumises à l'équipe de sécurité de Coursera le 5 octobre. La confirmation que la société a reçu le rapport et y travaillait est arrivée le 26 octobre, et Coursera a par la suite écrit à Cherkmarx disant qu'ils avaient résolu les problèmes du 18 décembre au 2 janvier et Coursera a ensuite envoyé un rapport de nouveau test avec un nouveau problème. Finalement, Le 24 mai, Coursera a confirmé que tous les problèmes étaient résolus.

Malgré le temps assez long entre la divulgation et la correction, les chercheurs ont déclaré que l'équipe de sécurité de Coursera était un plaisir de travailler avec.

« Leur professionnalisme et leur coopération, ainsi que la rapidité avec laquelle ils se sont appropriés, sont ce que nous attendons avec impatience lorsque nous nous engageons avec des sociétés de logiciels », ont-ils conclu.

source: https://www.checkmarx.com


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.