Coursera API ievainojamība varētu ļaut nopludināt lietotāju datus

Pirms dažām dienām ievainojamība tika atklāta populārajā tiešsaistes kursu platformā Coursera un tas, ka problēma, kas viņam bija, bija API, tātad tiek uzskatīts, ka ir ļoti iespējams, ka hakeri varēja ļaunprātīgi izmantot ievainojamību "BOLA" lai izprastu lietotāju kursu izvēles, kā arī sagrozītu lietotāja kursu iespējas.

Turklāt tiek arī uzskatīts, ka nesen atklātās ievainojamības pirms to labošanas varēja atklāt lietotāju datus. Šie trūkumus atklāja pētnieki no lietojumprogrammu drošības testēšanas uzņēmums atzīme un publicēti pagājušās nedēļas laikā.

Neaizsargātība attiecas uz daudzām Coursera lietojumprogrammu saskarnēm un pētnieki nolēma iedziļināties Coursera drošībā sakarā ar tā pieaugošo popularitāti, pārejot uz darbu un tiešsaistes mācībām COVID-19 pandēmijas dēļ.

Tiem, kam Coursera nav svešs, jums jāzina, ka tas ir uzņēmums, kuram ir 82 miljoni lietotāju un kurš strādā ar vairāk nekā 200 uzņēmumiem un universitātēm. Ievērojamas partnerības ir Ilinoisas universitāte, Djūka universitāte, Google, Mičiganas universitāte, Starptautiskās biznesa mašīnas, Londonas Imperatora koledža, Stenfordas universitāte un Pensilvānijas universitāte.

Tika atklātas dažādas API problēmas, tostarp lietotāja / konta uzskaitījums, izmantojot paroles atiestatīšanas funkciju, resursu trūkums, kas ierobežo gan GraphQL API, gan REST, un nepareiza GraphQL konfigurācija. Konkrēti, saraksta augšgalā ir bojāta objekta līmeņa autorizācijas problēma.

Mijiedarbojoties ar Coursera tīmekļa lietojumprogrammu kā pastāvīgi lietotāji (studenti), mēs pamanījām, ka lietotāja saskarnē tika parādīti nesen skatītie kursi. Lai attēlotu šo informāciju, mēs vienam API noteikšanai konstatējam vairākus API GET pieprasījumus: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.

BOLA API ievainojamība tiek aprakstīta kā ietekmētās lietotāju preferences. Izmantojot ievainojamību, pat anonīmi lietotāji varēja izgūt preferences, bet arī mainīt. Dažas no preferencēm, piemēram, nesen skatītie kursi un sertifikāti, arī filtrē dažus metadatus. BOLA API trūkumi var atklāt galapunktus kas apstrādā objektu identifikatorus, kas varētu pavērt iespējas plašākiem uzbrukumiem.

«Šo ievainojamību varēja ļaunprātīgi izmantot, lai plašā mērogā izprastu vispārējo lietotāju kursu izvēles, kā arī kaut kādā veidā sagrozītu lietotāju izvēli, jo manipulācijas ar viņu neseno darbību ietekmēja mājas lapā Coursera sniegto saturu konkrētam lietotājs, ”skaidro pētnieki.

"Diemžēl autorizācijas problēmas API ir diezgan izplatītas," saka pētnieki. “Ir ļoti svarīgi centralizēt piekļuves kontroles validācijas vienā komponentā, kas ir labi pārbaudīts, nepārtraukti pārbaudīts un aktīvi uzturēts. Jauni API galapunkti vai izmaiņas esošajos būtu rūpīgi jāpārskata, ņemot vērā to drošības prasības.

Pētnieki atzīmēja, ka autorizācijas problēmas API ir diezgan izplatītas un ka tāpēc ir svarīgi centralizēt piekļuves kontroles validācijas. Tas jādara, izmantojot vienu, labi pārbaudītu un pastāvīgu apkopes komponentu.

Atklātās ievainojamības vietas Coursera drošības komandai tika iesniegtas 5. oktobrī. Apstiprinājums, ka uzņēmums ir saņēmis ziņojumu un strādā pie tā, nāca 26. oktobrī, un pēc tam Coursera uzrakstīja Cherkmarx, sakot, ka viņi ir atrisinājuši problēmas no 18. decembra līdz 2. janvārim, un pēc tam Coursera nosūtīja ziņojumu par jaunu testu ar jaunu problēmu. Visbeidzot, Coursera 24. maijā apstiprināja, ka visi jautājumi ir novērsti.

Neskatoties uz diezgan ilgu laiku no informācijas atklāšanas līdz korekcijai, pētnieki teica, ka Coursera drošības komandai bija prieks strādāt.

"Viņu profesionalitāte un sadarbība, kā arī viņu uzņemtā ātrā īpašumtiesības ir tas, uz ko mēs ceram sadarbojoties ar programmatūras uzņēmumiem," viņi secināja.

Fuente: https://www.checkmarx.com


Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.