Alguns dias atrás uma vulnerabilidade foi divulgada na popular plataforma de cursos online Coursera e é que o problema que ele tinha era na API, então acredita-se que é muito possível que hackers tenham abusado da vulnerabilidade "BOLA" para entender as preferências de curso dos usuários, bem como distorcer as opções de curso do usuário.
Além disso, também acredita-se que vulnerabilidades reveladas recentemente podem ter exposto os dados do usuário antes de serem reparadas. Esses falhas foram descobertas por pesquisadores de a empresa de testes de segurança de aplicativos check-marx e publicado durante a semana passada.
Vulnerabilidades relacionam-se a uma variedade de interfaces de programação de aplicativos Coursera e os pesquisadores decidiram mergulhar na segurança do Coursera devido à sua popularidade crescente por meio da mudança para o trabalho e aprendizagem online devido à pandemia COVID-19.
Para quem não conhece o Coursera, saiba que se trata de uma empresa que possui 82 milhões de usuários e trabalha com mais de 200 empresas e universidades. Parcerias notáveis incluem a Universidade de Illinois, a Duke University, o Google, a Universidade de Michigan, a International Business Machines, o Imperial College London, a Stanford University e a University of Pennsylvania.
Vários problemas de API foram descobertos, incluindo enumeração de usuário / conta por meio do recurso de redefinição de senha, falta de recursos limitando a API GraphQL e REST, e configuração incorreta do GraphQL. Em particular, um problema de autorização de nível de objeto quebrado está no topo da lista.
Ao interagir com o aplicativo da web Coursera como usuários regulares (alunos), percebemos que os cursos visualizados recentemente eram exibidos na interface do usuário. Para representar essas informações, detectamos várias solicitações API GET para o mesmo ponto de extremidade: /api/userPreferences.v1/[USER_ID relevant~[PREFERENCE_TYPE}.
A vulnerabilidade da API BOLA é descrita como preferências do usuário afetadas. Aproveitando a vulnerabilidade, até mesmo usuários anônimos foram capazes de recuperar preferências, mas também alterá-las. Algumas das preferências, como cursos e certificações vistos recentemente, também filtram alguns metadados. Falhas de BOLA em APIs podem expor endpoints que manipulam identificadores de objeto, o que pode abrir a porta para ataques mais amplos.
“Esta vulnerabilidade pode ter sido abusada para entender as preferências de curso de usuários gerais em grande escala, mas também para distorcer as escolhas dos usuários de alguma forma, já que a manipulação de suas atividades recentes afetou o conteúdo apresentado na página inicial do Coursera para um determinado usuário ”, explicam os pesquisadores.
"Infelizmente, problemas de autorização são bastante comuns com APIs", dizem os pesquisadores. “É muito importante centralizar as validações de controle de acesso em um único componente, bem testado, continuamente testado e mantido ativamente. Novos endpoints da API, ou mudanças nos existentes, devem ser cuidadosamente revisados em relação aos seus requisitos de segurança. "
Os pesquisadores observaram que os problemas de autorização são bastante comuns com APIs e, como tal, é importante centralizar as validações de controle de acesso. Isso deve ser feito por meio de um único componente de manutenção contínua e bem testado.
As vulnerabilidades descobertas foram enviadas à equipe de segurança do Coursera em 5 de outubro. A confirmação de que a empresa recebeu o relatório e estava trabalhando nele veio em 26 de outubro, e o Coursera posteriormente escreveu a Cherkmarx dizendo que havia resolvido os problemas de 18 de dezembro a 2 de janeiro e o Coursera então enviou um relatório de novo teste com um novo problema. Finalmente, Em 24 de maio, o Coursera confirmou que todos os problemas foram corrigidos.
Apesar do tempo bastante longo desde a divulgação até a correção, os pesquisadores disseram que foi um prazer trabalhar com a equipe de segurança do Coursera.
"Seu profissionalismo e cooperação, bem como a propriedade rápida que assumiram, é o que esperamos quando nos envolvemos com empresas de software", concluíram.
fonte: https://www.checkmarx.com