Unha vulnerabilidade na API de Coursera podería permitir a filtración de datos do usuario

Hai poucos días revelouse unha vulnerabilidade na popular plataforma de cursos en liña Coursera e é que o problema que tiña estaba na API, así que Crese que é moi posible que os hackers puideran abusar da vulnerabilidade "BOLA" para comprender as preferencias dos cursos dos usuarios, así como distorsionar as opcións dos cursos dun usuario.

Ademais diso, tamén se cre que as vulnerabilidades reveladas recentemente poderían expor os datos do usuario antes de ser reparadas. Estes investigadores descubriron fallos a empresa de probas de seguridade da aplicación checkmarx e publicado durante a semana pasada.

Vulnerabilidades relacionarse cunha variedade de interfaces de programación de aplicacións Coursera e os investigadores decidiron afondar na seguridade de Coursera debido á súa crecente popularidade ao cambiar ao traballo e á aprendizaxe en liña debido á pandemia COVID-19.

Para aqueles que non estean familiarizados con Coursera, debes saber que se trata dunha empresa que conta con 82 millóns de usuarios e traballa con máis de 200 empresas e universidades. As asociacións notables inclúen a Universidade de Illinois, a Universidade de Duke, Google, a Universidade de Michigan, International Business Machines, o Imperial College de Londres, a Universidade de Stanford e a Universidade de Pensilvania.

Descubríronse varios problemas de API, incluída a enumeración de usuarios / contas mediante a función de restablecemento de contrasinal, falta de recursos que limitan tanto a API de GraphQL como REST e unha configuración de GraphQL incorrecta. En particular, un problema de autorización a nivel de obxecto roto encabeza a lista.

Ao interactuar coa aplicación web de Coursera como usuarios habituais (estudantes), notamos que os cursos vistos recentemente mostrábanse na interface de usuario. Para representar esta información, detectamos varias solicitudes GET API ao mesmo punto final: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

A vulnerabilidade da API BOLA descríbese como as preferencias do usuario afectadas. Aproveitando a vulnerabilidade, incluso os usuarios anónimos puideron recuperar as preferencias, pero tamén cambialas. Algunhas das preferencias, como cursos e certificacións vistos recentemente, tamén filtran algúns metadatos. Os defectos de BOLA nas API poden expoñer puntos finais que manexan identificadores de obxectos, o que podería abrir a porta a ataques máis amplos.

«Esta vulnerabilidade puido ser abusada para comprender as preferencias de curso dos usuarios en xeral a gran escala, pero tamén para distorsionar as opcións dos usuarios dalgún xeito, xa que a manipulación da súa actividade recente afectou ao contido presentado na páxina de inicio de Coursera para un contido específico. usuario ", explican os investigadores.

"Desafortunadamente, os problemas de autorización son bastante comúns coas API", din os investigadores. “É moi importante centralizar as validacións de control de acceso nun só compoñente, ben probado, probado continuamente e mantido activamente. Os novos puntos finais da API ou os cambios aos xa existentes deberían revisarse coidadosamente en función dos seus requisitos de seguridade.

Os investigadores observaron que os problemas de autorización son bastante comúns coas API e que, como tal, é importante centralizar as validacións do control de acceso. Facelo debe facerse cun único compoñente de mantemento ben probado e continuo.

As vulnerabilidades descubertas foron enviadas ao equipo de seguridade de Coursera o 5 de outubro. A confirmación de que a empresa recibiu o informe e estaba a traballar nel chegou o 26 de outubro e Coursera escribiu posteriormente a Cherkmarx dicindo que resolveran os problemas o 18 de decembro ata o 2 de xaneiro e Coursera enviou un informe de nova proba cun novo problema. Finalmente, O 24 de maio, Coursera confirmou que se solucionaron todos os problemas.

A pesar do tempo bastante longo desde a divulgación ata a corrección, os investigadores dixeron que o equipo de seguridade de Coursera foi un pracer traballar.

"A súa profesionalidade e cooperación, así como a rápida propiedade que asumiron, é o que agardamos cando colaboramos con empresas de software", concluíron.

Fuente: https://www.checkmarx.com


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.