לפני כמה ימים פגיעות נחשפה בפלטפורמת הקורסים המקוונת המקוונת Coursera והיא שהבעיה שהייתה לו הייתה ב- API, כך הוא האמין כי ייתכן מאוד כי האקרים היו יכולים להתעלל בפגיעות "BOLA" כדי להבין את העדפות הקורס של המשתמשים, כמו גם להטות את אפשרויות הקורס של המשתמש.
בנוסף, מאמינים כי פגיעות שהתגלו לאחרונה עלולות היו לחשוף נתוני משתמשים לפני שתוקנו. אלה חוקרים מ- התגלו פגמים חברת בדיקות אבטחת היישומים צ'קמרקס ופורסם במהלך השבוע האחרון.
פגיעויות מתייחסים למגוון ממשקי תכנות יישומים של Coursera והחוקרים החליטו להתעמק בביטחונה של קורסרה בגלל הפופולריות הגוברת שלה דרך מעבר לעבודה ולמידה מקוונת עקב מגיפת ה- COVID-19.
למי שלא מכיר את Coursera, כדאי שתדעו שמדובר בחברה שמונה 82 מיליון משתמשים ועובדת עם יותר מ 200 חברות ואוניברסיטאות. שותפויות בולטות כוללות את אוניברסיטת אילינוי, אוניברסיטת דיוק, גוגל, אוניברסיטת מישיגן, מכונות עסק בינלאומיות, אימפריאל קולג 'בלונדון, אוניברסיטת סטנפורד ואוניברסיטת פנסילבניה.
התגלו בעיות API שונות כולל ספירת משתמשים / חשבונות באמצעות תכונת איפוס סיסמה, היעדר משאבים המגבילים הן את ה- API של GraphQL והן את REST ואת תצורת ה- GraphQL שגויה. בפרט, נושא אישור ברמת אובייקט שבור בראש הרשימה.
כאשר אינטראקציה עם יישום האינטרנט Coursera כמשתמשים רגילים (סטודנטים), שמנו לב כי קורסים שנצפו לאחרונה הוצגו בממשק המשתמש. כדי לייצג מידע זה, אנו מזהים מספר בקשות של GET API לאותה נקודת קצה: /api/userPreferences.v1/ [USER_ID-lex.europa.eu ~ [PREFERENCE_TYPE}.
הפגיעות של BOLA API מתוארת כהעדפות משתמש מושפעות. תוך ניצול הפגיעות, אפילו משתמשים אנונימיים הצליחו לאחזר העדפות, אך גם לשנות אותן. חלק מההעדפות, כגון קורסים ואישורים שנצפו לאחרונה, מסננות גם כמה מטא נתונים. פגמי BOLA בממשקי API יכולים לחשוף נקודות קצה המטפלים במזהי עצמים, העלולים לפתוח פתח להתקפות רחבות יותר.
"ניתן היה לעשות שימוש לרעה בפגיעות זו בכדי להבין את העדפות הקורס של משתמשים כלליים בקנה מידה גדול, אך גם כדי להטות את בחירות המשתמשים בדרך כלשהי, מכיוון שהמניפולציה בפעילותם האחרונה השפיעה על התוכן המוצג בדף הבית Coursera עבור ספציפי המשתמש, "מסבירים החוקרים.
"למרבה הצער, בעיות הרשאה נפוצות למדי עם ממשקי API," אומרים החוקרים. "חשוב מאוד לרכז אימות בקרת גישה ברכיב יחיד, נבדק היטב, נבדק ברציפות ומתוחזק באופן פעיל. יש לבחון בקפידה נקודות קצה חדשות של API, או שינויים בקיימים, בהתאם לדרישות האבטחה שלהן. "
החוקרים ציינו כי בעיות הרשאות נפוצות למדי עם ממשקי API וכי ככזה חשוב לרכז אימות בקרת גישה. פעולה זו חייבת להיעשות באמצעות מרכיב תחזוקה יחיד, נבדק ומתמשך.
חולשות שהתגלו הוגשו לצוות האבטחה של קורסרה ב -5 באוקטובר. האישור שהחברה קיבלה את הדו"ח ועבד עליו הגיע ב -26 באוקטובר, וקורסרה כתבה לאחר מכן את צ'רקרמקס ואמרה כי פתרו את הבעיות ב -18 בדצמבר עד 2 בינואר, וקורסרה שלחה אז דוח על בדיקה חדשה עם בעיה חדשה. סוף כל סוף, ב- 24 במאי אישר קורסרה כי כל הבעיות תוקנו.
למרות הזמן הארוך למדי מגילוי ועד תיקון, החוקרים אמרו שצוות האבטחה של קורסרה היה תענוג לעבוד איתו.
"המקצועיות שלהם ושיתוף הפעולה שלהם, כמו גם הבעלות המהירה שהם לקחו על עצמם, הם מה שאנחנו מצפים לעצמנו כאשר אנו מתקשרים עם חברות תוכנה", סיכמו.
מקור: https://www.checkmarx.com