Pár napja biztonsági rést tártak fel a népszerű Coursera online tanfolyami platformon és az, hogy a problémája az API-ban volt, tehát úgy gondolják, hogy nagyon lehetséges, hogy a hackerek visszaélhettek a "BOLA" sebezhetőséggel megérteni a felhasználók tanfolyamának preferenciáit, valamint torzítani a felhasználó tanfolyamának lehetőségeit.
Ezen túlmenően az a vélemény is, hogy a nemrégiben feltárt biztonsági rések kijavíthatják a felhasználói adatokat a javítás előtt. Ezek hibákat fedeztek fel a kutatók az alkalmazás biztonsági tesztelő cége pipa és az elmúlt héten publikálták.
Sebezhetőségek különféle Coursera alkalmazás-programozási felületekhez kapcsolódhatnak és a kutatók úgy döntöttek, hogy elmélyülnek a Coursera biztonságában, mivel egyre növekvő népszerűségnek örvend a munkahelyre váltás és az online tanulás a COVID-19 járvány miatt.
Azok számára, akik nem ismerik a Coursera-t, tudnia kell, hogy ez egy olyan vállalat, amelynek 82 millió felhasználója van, és több mint 200 céggel és egyetemmel dolgozik. Figyelemre méltó partnerségek közé tartozik az Illinoisi Egyetem, a Duke Egyetem, a Google, a Michigani Egyetem, a Nemzetközi Üzleti Gépek, a londoni Imperial College, a Stanfordi Egyetem és a Pennsylvaniai Egyetem.
Különböző API-problémákat fedeztek fel, beleértve a felhasználói / fiók felsorolást a jelszó-visszaállítási funkción keresztül a GraphQL API-t és a REST-et egyaránt korlátozó erőforrások hiánya és a GraphQL hibás konfigurálása. Különösen egy törött objektumszintű engedélyezési probléma vezeti a listát.
Amikor a Coursera webalkalmazással rendszeres felhasználóként (hallgatókként) lépett kapcsolatba, észrevettük, hogy a közelmúltban megtekintett tanfolyamok megjelennek a felhasználói felületen. Ezen információk ábrázolásához több API GET kérést észlelünk ugyanarra a végpontra: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.
A BOLA API sérülékenységet az érintett felhasználói beállításokként írják le. A biztonsági rés kihasználásával még az anonim felhasználók is lekérhették a beállításokat, de azokat is megváltoztathatták. A preferenciák egy része, például a közelmúltban megtekintett tanfolyamok és tanúsítványok, néhány metaadatot is kiszűrnek. Az API-k BOLA-hibái felfedhetik a végpontokat amelyek kezelik az objektumazonosítókat, amelyek megnyithatják az ajtót a szélesebb körű támadások előtt.
„Ezzel a sérülékenységgel vissza lehetett volna élni az általános felhasználók pálya-preferenciáinak széles körű megértése, valamint a felhasználók döntéseinek valamilyen módon való torzítása érdekében, mivel a közelmúltbeli tevékenységük manipulálása kihatással volt a Coursera honlapon megjelenő tartalomra egy adott felhasználó ”- magyarázzák a kutatók.
"Sajnos az engedélyezési problémák meglehetősen gyakoriak az API-knál" - állítják a kutatók. „Nagyon fontos a beléptető ellenőrzések központosítása egyetlen alkatrészbe, jól tesztelve, folyamatosan tesztelve és aktívan karbantartva. Az új API-végpontokat vagy a meglévők módosításait gondosan felül kell vizsgálni a biztonsági követelményekkel összhangban. "
A kutatók megjegyezték, hogy az engedélyezési problémák meglehetősen gyakoriak az API-knál, és ezért fontos a hozzáférés-ellenőrzés érvényesítésének központosítása. Ezt egyetlen, jól tesztelt és folyamatos karbantartási alkatrészen keresztül kell elvégezni.
Felfedezett biztonsági réseket október 5-én nyújtottak be a Coursera biztonsági csapatához. A megerősítés arról, hogy a vállalat megkapta a jelentést és dolgozott rajta, október 26-án érkezett, és a Coursera ezt követően megírta a Cherkmarxot, mondván, hogy december 18-tól január 2-ig megoldották a problémákat, majd a Coursera új jelentést küldött egy új problémáról. Végül, Május 24-én a Coursera megerősítette, hogy minden probléma megoldódott.
Annak ellenére, hogy a nyilvánosságra hozataltól a korrekcióig meglehetősen hosszú idő állt rendelkezésre, a kutatók szerint a Coursera biztonsági csapata örömmel dolgozott.
"Professzionalizmusuk és együttműködésük, valamint a vállalt gyors tulajdonosi viszonyok az, amire számítunk, amikor kapcsolatba lépünk a szoftvercégekkel" - fejezték be.
forrás: https://www.checkmarx.com