Ranjivost u Coursera API-ju mogla bi omogućiti curenje korisničkih podataka

Prije nekoliko dana ranjivost je otkrivena u popularnoj internetskoj platformi za tečajeve Coursera i je li problem koji je imao u API-u, pa Vjeruje se da je vrlo moguće da su hakeri mogli zloupotrijebiti ranjivost "BOLA" kako bi se razumjele korisničke postavke tečaja, kao i da se iskrivljuju mogućnosti korisničkog tečaja.

Uz to se također vjeruje da su nedavno otkrivene ranjivosti mogle otkriti korisničke podatke prije popravljanja. Ovi nedostatke su otkrili istraživači iz tvrtka za testiranje sigurnosti aplikacija checkmarkx i objavljeni tijekom proteklog tjedna.

Ranjivosti odnose se na mnoštvo programskih sučelja programa Coursera a istraživači su se odlučili udubiti u sigurnost Coursere zbog sve veće popularnosti prelaskom na posao i internetsko učenje zbog pandemije COVID-19.

Za one koji nisu upoznati s Courserom, trebali biste znati da je ovo tvrtka koja ima 82 milijuna korisnika i radi s više od 200 tvrtki i sveučilišta. Značajna partnerstva uključuju Sveučilište Illinois, Sveučilište Duke, Google, Sveučilište Michigan, International Business Machines, Imperial College London, Sveučilište Stanford i Sveučilište Pennsylvania.

Otkriveni su različiti API problemi, uključujući nabrajanje korisnika / računa putem značajke poništavanja lozinke, nedostatak resursa koji ograničavaju i GraphQL API i REST, i netočna konfiguracija GraphQL-a. Naročito je na vrhu popis neispravnih ovlaštenja na razini objekta.

Pri interakciji s web aplikacijom Coursera kao redoviti korisnici (studenti) primijetili smo da su nedavno pregledani tečajevi prikazani u korisničkom sučelju. Da bismo predstavili ove informacije, otkrivamo više API GET zahtjeva za istu krajnju točku: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

Ranjivost BOLA API opisana je kao pogođene korisničke postavke. Iskoristivši ranjivost, čak su i anonimni korisnici mogli dohvatiti postavke, ali i promijeniti ih. Neke postavke, poput nedavno pregledanih tečajeva i certifikata, također filtriraju neke metapodatke. BOLA-ini nedostaci API-ja mogu otkriti krajnje točke koji rukuju identifikatorima objekata, što bi moglo otvoriti vrata širim napadima.

«Ova se ranjivost mogla zloupotrijebiti da bi se u velikoj mjeri razumjele preferencije tečaja općih korisnika, ali i da bi se na neki način iskrivio izbor korisnika, jer je manipulacija njihovim nedavnim aktivnostima utjecala na sadržaj prikazan na početnoj stranici Coursere za određeni korisnik ", objašnjavaju istraživači.

"Nažalost, problemi s autorizacijom prilično su česti kod API-ja", kažu istraživači. „Vrlo je važno centralizirati provjere kontrole pristupa u jednoj komponenti, dobro testiranoj, kontinuirano testiranoj i aktivno održavanoj. Nove API završne točke ili promjene postojećih treba pažljivo pregledati u odnosu na njihove sigurnosne zahtjeve. "

Istraživači su primijetili da su problemi s autorizacijom prilično česti kod API-ja i da je kao takvo važno centralizirati provjere valjanosti kontrole pristupa. To se mora provesti kroz jednu, dobro provjerenu i trajnu komponentu održavanja.

Otkrivene ranjivosti predane su Courserinom sigurnosnom timu 5. listopada. Potvrda da je tvrtka primila izvještaj i da na njemu radi stigla je 26. listopada, a Coursera je naknadno napisala Cherkmarxu rekavši da su riješili probleme od 18. prosinca do 2. siječnja, a Coursera je zatim poslala izvještaj o novom testu s novim problemom. Konačno, 24. svibnja Coursera je potvrdila da su svi problemi riješeni.

Unatoč prilično dugom vremenu od otkrivanja do ispravka, istraživači su rekli da je sigurnosni tim Coursere zadovoljstvo raditi.

"Njihova profesionalnost i suradnja, kao i brzo vlasništvo koje su preuzeli, ono su čemu se radujemo kad komuniciramo sa softverskim tvrtkama", zaključili su.

izvor: https://www.checkmarx.com


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.