SoundCloud war aufgrund der unbegrenzten Anzahl von Anmeldeversuchen ein Ziel für Attacken, bei denen Anmeldeinformationen gestopft wurden
Mit über 170 Millionen Nutzern ist SoundCloud zweifellos eine der weltweit größten Audio-Streaming-Plattformen. Laut Alexa gehört es zu den Top 100 der meistbesuchten Websites, weshalb es ein perfekter Kandidat für einen genauen Blick durch das Sicherheitsforschungsteam von Checkmarx war. Bereits im November untersuchten die Checkmarx-Experten den Stand der API-Sicherheit auf weit verbreiteten Online-Plattformen. Man kann mit Sicherheit sagen, dass sie mit dem, was sie bei SoundCloud gefunden haben, nicht besonders zufrieden waren.
Die Forscher von Checkmarx entdeckten mehrere Sicherheitslücken in der SoundCloud-API, die Hackern zahlreiche Angriffsmöglichkeiten bieten könnten. In den meisten Szenarien hätten die Kriminellen den SoundCloud-Dienst nur unterbrechen können, aber es gab eine Kombination aus zwei Sicherheitsvorkehrungen, die zusammen mit den schlechten Passwortgewohnheiten der Leute einen groß angelegten Angriff auf die Kontoübernahme ermöglicht hätten.
Table of Contents
Zwei SoundCloud-Bugs machten das Füllen von Anmeldeinformationen und Brute-Force-Angriffe einfach
Das Füllen von Anmeldeinformationen ist eine der einfachsten Methoden, um die Online-Konten einer großen Anzahl von Personen zu gefährden, was angesichts der Unmengen gestohlener Passwörter, die täglich im Internet verschüttet werden, nicht überraschend ist. Crooks schrecken auch nicht davor zurück, herkömmliche Brute-Force-Angriffe zu starten, wenn sie die Gelegenheit dazu haben. Deshalb war eine ihrer ersten Aufgaben, als die Forscher von Checkmarx das Authentifizierungssystem von SoundCloud untersuchten, zu prüfen, ob die Benutzer der Streaming-Plattform dies waren gegen diese Art von Aktivitäten geschützt. Es stellte sich heraus, dass dies nicht der Fall war.
Zunächst stellten die Forscher fest, dass sie SoundCloud-Konten relativ einfach aufzählen konnten. Sie haben eine E-Mail-Adresse verwendet und einige Endpunkte der API abgefragt (die die Anmeldung und das Zurücksetzen des Kennworts erleichtern). In beiden Fällen geben die Antworten der Endpunkte einen eindeutigen Hinweis darauf, ob ein Konto mit dieser E-Mail-Adresse vorhanden ist. Dies bedeutet, dass ein Angreifer mithilfe eines Skripts automatisch eine große Anzahl von Abfragen durchführen und eine Liste gültiger SoundCloud-Konten erstellen kann. Dann konnten sie sich brachial durchschlagen.
Während ihrer Untersuchung stellten die Forscher von Checkmarx fest, dass SoundCloud die Anzahl der fehlgeschlagenen Anmeldeversuche für ein einzelnes Konto unbegrenzt beschränkt hatte. Ausgerüstet mit einer Liste von E-Mail-Adressen, die mit gültigen SoundCloud-Profilen verknüpft sind (was, wie wir bereits festgestellt haben, nicht schwer zu bekommen ist), konnten die Hacker so viele Passwörter ausprobieren, wie sie für jedes einzelne wollten. Ein Attacke auf die Anmeldeinformationen war wohl noch einfacher. Die Hacker mussten lediglich den Ratenbegrenzer umgehen, der laut Checkmarx mit geringfügigen Änderungen der Anforderungen möglich war.
Sicherheitsfehler machten SoundCloud anfällig für DoS-Angriffe
Das Szenario war nicht gerade weit hergeholt, und die Möglichkeit der Kontoübernahme, insbesondere für Personen, die ihre Passwörter wiederverwenden, war sehr real. Bevor die Checkmarx-Experten die Sicherheitsanfälligkeit an SoundCloud melden, haben sie sich entschlossen, sich noch einmal umzusehen und nach weiteren Fehlern zu suchen, die die Benutzer oder den Dienst selbst gefährden könnten. Es stellte sich heraus, dass es noch einige Probleme gab.
Aufgrund fehlender Ressourcenbeschränkungen gelang es den Forschern, durch Manipulation einer Anfrage an den / tracks-Endpunkt der SoundCloud-API eine Liste mit fast 700 Track-IDs abzurufen. Bei normaler Verwendung gibt die API nur 16 Track-IDs zurück, sodass Sie einen Eindruck davon erhalten, wie viel Druck die gestalteten Anforderungen auf die SoundCloud-Hardware ausüben können. Es war ein Distributed Denial of Service (DDoS) -Angriff, der darauf wartete, ausgeführt zu werden.
Ein weiterer Fehler bei der Implementierung der Ressourcen- und Ratenbeschränkung hätte Angreifern die Möglichkeit geben können, die von SoundCloud angezeigten Daten zu beschädigen, und eine alte Version des Nginx-Webservers hat Informationen über das System preisgegeben, auf dem der Dienst ausgeführt wurde. Ein Eingabevalidierungsfehler in der API bedeutete auch, dass ein Angreifer beim Hochladen eines neuen Songs lange Zeichenfolgen in die Felder Beschreibung, Titel und Genre eingeben konnte, was theoretisch die Möglichkeit zur weiteren Ausnutzung eröffnete.
SoundCloud hat die Schwachstellen schnell behoben
Die Checkmarx-Forscher wussten, dass SoundCloud einige Probleme zu beheben hatte, weshalb sie keine Zeit damit verschwendeten, die Probleme offenzulegen. Der Bericht wurde am 11. November 2019 gesendet, und am selben Tag bestätigte die Streaming-Plattform, dass die Untersuchung begonnen hat. Innerhalb von weniger als einem Monat wurden die schwerwiegendsten Sicherheitslücken behoben, und Ende Januar waren alle Bedenken von Checkmarx ausgeräumt.
In ihrem Bericht stellten die Forscher fest, dass sie von der Professionalität des SoundCloud-Sicherheitsteams beeindruckt sind. Leider sehen wir das heutzutage nicht so oft, wie wir sollten.
