Una vulnerabilidad en la API de Coursera, pudo permitir la filtración de datos de usuarios

சில நாட்களுக்கு முன்பு பிரபலமான ஆன்லைன் பாடநெறி தளமான கோசெராவில் ஒரு பாதிப்பு வெளிப்படுத்தப்பட்டது அவருக்கு இருந்த பிரச்சினை ஏபிஐ யில் இருந்தது "போலா" பாதிப்பை ஹேக்கர்கள் துஷ்பிரயோகம் செய்திருக்கலாம் என்பது மிகவும் சாத்தியம் என்று நம்பப்படுகிறது பயனர்களின் பாட விருப்பங்களை புரிந்து கொள்ளவும், பயனரின் பாடநெறி விருப்பங்களைத் தவிர்க்கவும்.

அதோடு, சமீபத்தில் வெளிப்படுத்தப்பட்ட பாதிப்புகள் பழுதுபார்க்கப்படுவதற்கு முன்பு பயனர் தரவை அம்பலப்படுத்தியிருக்கலாம் என்றும் நம்பப்படுகிறது. இவை குறைபாடுகள் ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டன பயன்பாட்டு பாதுகாப்பு சோதனை நிறுவனம் செக்மார்க்ஸ் மற்றும் கடந்த வாரத்தில் வெளியிடப்பட்டது.

பாதிப்புகள் பல்வேறு கோசெரா பயன்பாட்டு நிரலாக்க இடைமுகங்களுடன் தொடர்புடையது COVID-19 தொற்றுநோயால் வேலைக்கு மாறுவது மற்றும் ஆன்லைன் கற்றல் மூலம் கோசெராவின் புகழ் அதிகரித்து வருவதால் ஆராய்ச்சியாளர்கள் அதன் பாதுகாப்பை ஆராய முடிவு செய்தனர்.

கோசெராவைப் பற்றி அறிமுகமில்லாதவர்களுக்கு, இது 82 மில்லியன் பயனர்களைக் கொண்ட ஒரு நிறுவனம் மற்றும் 200 க்கும் மேற்பட்ட நிறுவனங்கள் மற்றும் பல்கலைக்கழகங்களுடன் பணிபுரியும் நிறுவனம் என்பதை நீங்கள் அறிந்து கொள்ள வேண்டும். இல்லினாய்ஸ் பல்கலைக்கழகம், டியூக் பல்கலைக்கழகம், கூகிள், மிச்சிகன் பல்கலைக்கழகம், சர்வதேச வணிக இயந்திரங்கள், இம்பீரியல் கல்லூரி லண்டன், ஸ்டான்போர்ட் பல்கலைக்கழகம் மற்றும் பென்சில்வேனியா பல்கலைக்கழகம் ஆகியவை குறிப்பிடத்தக்க கூட்டாண்மைகளில் அடங்கும்.

கடவுச்சொல் மீட்டமைப்பு அம்சத்தின் மூலம் பயனர் / கணக்கு கணக்கீடு உட்பட பல்வேறு API சிக்கல்கள் கண்டறியப்பட்டன, GraphQL API மற்றும் REST இரண்டையும் கட்டுப்படுத்தும் ஆதாரங்களின் பற்றாக்குறை, மற்றும் தவறான GraphQL உள்ளமைவு. குறிப்பாக, உடைந்த பொருள் நிலை அங்கீகார சிக்கல் பட்டியலில் முதலிடம் வகிக்கிறது.

வழக்கமான பயனர்களாக (மாணவர்கள்) கோர்செரா வலை பயன்பாட்டுடன் தொடர்பு கொள்ளும்போது, சமீபத்தில் பார்த்த படிப்புகள் பயனர் இடைமுகத்தில் காட்டப்படுவதை நாங்கள் கவனித்தோம். இந்த தகவலைக் குறிக்க, ஒரே முடிவுக்கு பல API GET கோரிக்கைகளை நாங்கள் கண்டறிகிறோம்: /api/userPreferences.v1/ LeisureUSER_ID-lex.europa.eu~ LeisurePREFERENCE_TYPE}.

BOLA API பாதிப்பு பாதிக்கப்பட்ட பயனர் விருப்பங்களாக விவரிக்கப்படுகிறது. பாதிப்பைப் பயன்படுத்தி, அநாமதேய பயனர்கள் கூட விருப்பங்களை மீட்டெடுக்க முடிந்தது, ஆனால் அவற்றை மாற்றவும் முடிந்தது. சமீபத்தில் பார்த்த படிப்புகள் மற்றும் சான்றிதழ்கள் போன்ற சில விருப்பங்களும் சில மெட்டாடேட்டாவை வடிகட்டுகின்றன. API களில் உள்ள BOLA குறைபாடுகள் இறுதி புள்ளிகளை வெளிப்படுத்தலாம் பொருள் அடையாளங்காட்டிகளைக் கையாளும், இது பரந்த தாக்குதல்களுக்கான கதவைத் திறக்கும்.

Users பொதுவான பயனர்களின் பாடநெறி விருப்பங்களை பெரிய அளவில் புரிந்து கொள்ள இந்த பாதிப்பு துஷ்பிரயோகம் செய்யப்பட்டிருக்கலாம், ஆனால் பயனர்களின் தேர்வுகளை ஒருவிதத்தில் திசைதிருப்பலாம், ஏனெனில் அவர்களின் சமீபத்திய செயல்பாட்டின் கையாளுதல் முகப்பு பக்கத்தில் கோசெராவில் வழங்கப்பட்ட உள்ளடக்கத்தை ஒரு குறிப்பிட்ட அளவிற்கு பாதித்தது பயனர், ”ஆராய்ச்சியாளர்கள் விளக்குகிறார்கள்.

"துரதிர்ஷ்டவசமாக, அங்கீகார சிக்கல்கள் API களில் மிகவும் பொதுவானவை" என்று ஆராய்ச்சியாளர்கள் கூறுகின்றனர். “அணுகல் கட்டுப்பாட்டு சரிபார்ப்புகளை ஒரு கூறுகளில் மையப்படுத்துவது மிகவும் முக்கியம், நன்கு சோதிக்கப்பட்டது, தொடர்ந்து சோதிக்கப்படுகிறது மற்றும் தீவிரமாக பராமரிக்கப்படுகிறது. புதிய ஏபிஐ இறுதிப் புள்ளிகள் அல்லது ஏற்கனவே உள்ளவற்றிற்கான மாற்றங்கள் அவற்றின் பாதுகாப்புத் தேவைகளுக்கு எதிராக கவனமாக மதிப்பாய்வு செய்யப்பட வேண்டும். "

ஏபிஐகளுடன் அங்கீகார சிக்கல்கள் மிகவும் பொதுவானவை என்றும் அணுகல் கட்டுப்பாட்டு சரிபார்ப்புகளை மையப்படுத்துவது முக்கியம் என்றும் ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர். அவ்வாறு செய்வது ஒற்றை, நன்கு சோதிக்கப்பட்ட மற்றும் தொடர்ந்து பராமரிக்கப்படும் ஒரு கூறு வழியாக இருக்க வேண்டும்.

கண்டுபிடிக்கப்பட்ட பாதிப்புகள் அக்டோபர் 5 ஆம் தேதி கோசெராவின் பாதுகாப்பு குழுவிடம் சமர்ப்பிக்கப்பட்டன. நிறுவனம் அந்த அறிக்கையைப் பெற்றது மற்றும் அதற்கான பணிகள் நடைபெறுகின்றன என்பது அக்டோபர் 26 ஆம் தேதி வந்தது, பின்னர் கோசெரா செர்க்மார்க்ஸை எழுதினார், அவர்கள் டிசம்பர் 18 முதல் ஜனவரி 2 வரை பிரச்சினைகளைத் தீர்த்ததாகக் கூறினர், பின்னர் கோசெரா ஒரு புதிய சிக்கலுடன் புதிய சோதனை அறிக்கையை அனுப்பினார். இறுதியாக, மே 24 அன்று, கோசெரா அனைத்து சிக்கல்களும் சரி செய்யப்பட்டதை உறுதிப்படுத்தியது.

வெளிப்படுத்தியதிலிருந்து திருத்தம் செய்வதற்கு நீண்ட நேரம் இருந்தபோதிலும், ஆராய்ச்சியாளர்கள் கோசெரா பாதுகாப்புக் குழு பணியாற்றுவதில் மகிழ்ச்சி அடைவதாகக் கூறினர்.

"அவர்களின் தொழில்முறை மற்றும் ஒத்துழைப்பு, அத்துடன் அவர்கள் ஏற்றுக்கொண்ட விரைவான உரிமை ஆகியவை மென்பொருள் நிறுவனங்களுடன் ஈடுபடும்போது நாங்கள் எதிர்நோக்குகிறோம்" என்று அவர்கள் முடிவு செய்தனர்.

மூல: https://www.checkmarx.com

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

கருத்து *

பெயர்*

மின்னணு அஞ்சல்*

நான் ஏற்றுக்கொள்கிறேன் தனியுரிமை விதிமுறைகள்*

தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

செய்திமடலைப் பெற விரும்புகிறேன்

DesdeLinux

Coursera API இல் ஒரு பாதிப்பு பயனர் தரவின் கசிவை அனுமதிக்கும்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் கருத்தை தெரிவிக்கவும் பதிலை ரத்துசெய்

உங்கள் கருத்தை தெரிவிக்கவும்