Paar dagen geleden er is een kwetsbaarheid onthuld in het populaire online cursusplatform Coursera en is dat het probleem dat hij had in de API zat, dus Er wordt aangenomen dat het heel goed mogelijk is dat hackers de kwetsbaarheid "BOLA" hebben misbruikt om de cursusvoorkeuren van gebruikers te begrijpen en om de cursusopties van een gebruiker te vertekenen.
Daarnaast wordt ook aangenomen dat de onlangs onthulde kwetsbaarheden gebruikersgegevens kunnen hebben blootgelegd voordat ze werden gerepareerd. Deze gebreken werden ontdekt door onderzoekers van het testbedrijf voor applicatiebeveiliging checkmarx en gepubliceerd in de afgelopen week.
Kwetsbaarheden betrekking hebben op een verscheidenheid aan Coursera-interfaces voor applicatieprogrammering en de onderzoekers besloten zich te verdiepen in de beveiliging van Coursera vanwege de toenemende populariteit door over te schakelen naar werk en online leren vanwege de COVID-19-pandemie.
Voor degenen die niet bekend zijn met Coursera, je moet weten dat dit een bedrijf is met 82 miljoen gebruikers en werkt met meer dan 200 bedrijven en universiteiten. Opmerkelijke samenwerkingsverbanden zijn onder meer de University of Illinois, Duke University, Google, de University of Michigan, International Business Machines, Imperial College London, Stanford University en de University of Pennsylvania.
Er zijn verschillende API-problemen ontdekt, waaronder het inventariseren van gebruikers / accounts via de functie voor het opnieuw instellen van wachtwoorden, gebrek aan bronnen die zowel de GraphQL API als REST beperken, en onjuiste GraphQL-configuratie. Met name een probleem met autorisatie op objectniveau staat bovenaan de lijst.
Bij interactie met de Coursera-webapplicatie als reguliere gebruikers (studenten), merkten we dat recent bekeken cursussen in de gebruikersinterface werden weergegeven. Om deze informatie weer te geven, detecteren we meerdere API GET-verzoeken naar hetzelfde eindpunt: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
De kwetsbaarheid van de BOLA API wordt beschreven als getroffen gebruikersvoorkeuren. Door gebruik te maken van het beveiligingslek, konden zelfs anonieme gebruikers voorkeuren ophalen, maar ook wijzigen. Sommige voorkeuren, zoals recent bekeken cursussen en certificeringen, filteren ook enkele metadata weg. BOLA-fouten in API's kunnen eindpunten blootleggen die object-ID's afhandelen, wat de deur zou kunnen openen voor bredere aanvallen.
«Deze kwetsbaarheid had kunnen worden misbruikt om de cursusvoorkeuren van algemene gebruikers op grote schaal te begrijpen, maar ook om de keuzes van gebruikers op de een of andere manier te vertekenen, aangezien de manipulatie van hun recente activiteit de inhoud die op de startpagina Coursera voor een specifieke gebruiker”, leggen de onderzoekers uit.
"Helaas komen autorisatieproblemen vrij vaak voor bij API's", zeggen de onderzoekers. “Het is erg belangrijk om toegangscontrolevalidaties te centraliseren in één onderdeel, goed getest, continu getest en actief onderhouden. Nieuwe API-eindpunten, of wijzigingen aan bestaande, moeten zorgvuldig worden getoetst aan hun beveiligingsvereisten."
De onderzoekers merkten op dat autorisatieproblemen vrij vaak voorkomen bij API's en dat het daarom belangrijk is om toegangscontrolevalidaties te centraliseren. Dit moet gebeuren via een enkele, goed geteste en doorlopende onderhoudscomponent.
Ontdekte kwetsbaarheden zijn op 5 oktober ingediend bij Coursera's beveiligingsteam. De bevestiging dat het bedrijf het rapport ontving en eraan werkte, kwam op 26 oktober, en Coursera schreef vervolgens Cherkmarx dat ze de problemen van 18 december tot en met 2 januari hadden opgelost en Coursera stuurde vervolgens een rapport van een nieuwe test met een nieuw probleem. Tenslotte, Op 24 mei bevestigde Coursera dat alle problemen waren opgelost.
Ondanks de vrij lange tijd van openbaarmaking tot correctie, zeiden de onderzoekers dat het Coursera-beveiligingsteam een plezier was om mee samen te werken.
"Hun professionaliteit en samenwerking, evenals het snelle eigenaarschap dat ze op zich namen, is waar we naar uitkijken als we met softwarebedrijven in zee gaan", concludeerden ze.
bron: https://www.checkmarx.com