Et sårbarhet i Coursera API kan tillate lekkasje av brukerdata

Noen dager siden en sårbarhet ble avslørt i den populære online kursplattformen Coursera og er at problemet han hadde var i API, så det antas at det er veldig mulig at hackere kunne ha misbrukt sårbarheten "BOLA" for å forstå brukernes kursinnstillinger, samt å skjevføre en brukers kursalternativer.

I tillegg til at det antas at de nylig avslørte sårbarhetene kunne ha eksponert brukerdata før de ble reparert. Disse feil ble oppdaget av forskere fra applikasjonssikkerhetstestfirmaet Checkmarx og publisert i løpet av den siste uken.

Sårbarheter forholde seg til en rekke Coursera applikasjonsprogrammeringsgrensesnitt og forskerne bestemte seg for å fordype seg i sikkerheten til Coursera på grunn av den økende populariteten gjennom å bytte til jobb og online læring på grunn av COVID-19-pandemien.

For de som ikke er kjent med Coursera, bør du vite at dette er et selskap som har 82 millioner brukere og jobber med mer enn 200 selskaper og universiteter. Bemerkelsesverdige partnerskap inkluderer University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University og University of Pennsylvania.

Ulike API-problemer ble oppdaget, inkludert oppføring av bruker / konto via funksjon for tilbakestilling av passord, mangel på ressurser som begrenser både GraphQL API og REST, og feil GraphQL-konfigurasjon. Spesielt topper listen over autoriserte problemer med ødelagt objektnivå.

Når vi kommuniserte med Coursera-nettapplikasjonen som vanlige brukere (studenter), la vi merke til at nylig viste kurs ble vist i brukergrensesnittet. For å representere denne informasjonen oppdager vi flere API GET-forespørsler til samme endepunkt: /api/userPreferences.v1/ [USER_ID-lex.europa.eu ~ [FORETRUKNING_TYPE}.

BOLA API-sårbarheten er beskrevet som berørte brukerinnstillinger. Ved å utnytte sårbarheten klarte selv anonyme brukere å hente innstillinger, men også endre dem. Noen av preferansene, for eksempel nylig viste kurs og sertifiseringer, filtrerer også ut noen metadata. BOLA-feil i API-er kan avsløre sluttpunkter som håndterer objektidentifikatorer, som kan åpne for større angrep.

«Dette sårbarheten kunne ha blitt misbrukt for å forstå kursinnstillingene til generelle brukere i stor skala, men også for å skjevbrukernes valg på en eller annen måte, ettersom manipuleringen av deres nylige aktivitet påvirket innholdet som ble presentert på hjemmesiden Coursera for en bestemt bruker, forklarer forskerne.

"Dessverre er autorisasjonsproblemer ganske vanlige med API-er," sier forskerne. “Det er veldig viktig å sentralisere validering av tilgangskontroll i en enkelt komponent, godt testet, kontinuerlig testet og aktivt vedlikeholdt. Nye API-endepunkter, eller endringer i eksisterende, bør gjennomgås nøye i forhold til deres sikkerhetskrav. "

Forskerne bemerket at autorisasjonsproblemer er ganske vanlige med API-er, og det er derfor viktig å sentralisere validering av tilgangskontroll. Dette må skje gjennom en enkelt, velprøvd og kontinuerlig vedlikeholdskomponent.

Oppdagede sårbarheter ble sendt til Courseras sikkerhetsteam 5. oktober. Bekreftelse på at selskapet mottok rapporten og jobbet med den kom 26. oktober, og Coursera skrev deretter Cherkmarx og sa at de hadde løst problemene 18. desember til 2. januar, og Coursera sendte deretter en rapport om ny test med et nytt problem. Endelig, 24. mai bekreftet Coursera at alle problemer ble løst.

Til tross for den ganske lange tiden fra avsløring til korreksjon, sa forskerne at Coursera sikkerhetsteam var en glede å jobbe med.

"Deres profesjonalitet og samarbeid, så vel som det raske eierskapet de påtok seg, er det vi ser frem til når vi samarbeider med programvareselskaper," konkluderte de.

Fuente: https://www.checkmarx.com


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

Bli den første til å kommentere

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.