SoundCloud fue blanco de ataques de relleno de credenciales debido al número ilimitado de intentos de inicio de sesión

SoundCloud API Vulnerabilities

Con más de 170 millones de usuarios, SoundCloud es sin duda una de las plataformas de transmisión de audio más grandes del mundo. Según Alexa, se encuentra en los 100 sitios web más visitados, lo que lo convirtió en un candidato perfecto para un buen vistazo del equipo de investigación de seguridad de Checkmarx. En noviembre, los expertos de Checkmarx estaban investigando el estado de la seguridad API en plataformas en línea ampliamente utilizadas. Es seguro decir que no estaban particularmente contentos con lo que encontraron en SoundCloud.

Los investigadores de Checkmarx descubrieron varias vulnerabilidades de seguridad en la API de SoundCloud, que podrían haber ofrecido a los piratas informáticos muchas oportunidades de ataque. En la mayoría de los escenarios, los delincuentes habrían podido hacer poco más que interrumpir el servicio de SoundCloud, pero hubo una combinación de dos descuidos de seguridad que, junto con los malos hábitos de contraseña de las personas, podrían haber permitido un ataque de adquisición de cuenta a gran escala.

Dos errores de SoundCloud facilitaron el relleno de credenciales y los ataques de fuerza bruta

El relleno de credenciales es una de las formas más fáciles de comprometer las cuentas en línea de una gran cantidad de personas, lo que no es sorprendente teniendo en cuenta la gran cantidad de contraseñas robadas que se derraman en Internet todos los días. Los delincuentes tampoco evitan montar ataques de fuerza bruta más tradicionales cuando tienen la oportunidad, razón por la cual, cuando los investigadores de Checkmarx comenzaron su investigación sobre el sistema de autenticación de SoundCloud, una de sus primeras tareas fue ver si los usuarios de la plataforma de transmisión eran protegido contra este tipo de actividades. Resultó que no lo eran.

Primero, los investigadores se dieron cuenta de que podían enumerar las cuentas de SoundCloud con relativa facilidad. Tomaron una dirección de correo electrónico y consultaron un par de puntos finales de la API (los que facilitan los procesos de inicio de sesión y restablecimiento de contraseña). En ambos casos, las respuestas de los puntos finales indicarían claramente si existe una cuenta con esta dirección de correo electrónico, lo que significa que mediante un script, un atacante podría realizar automáticamente una gran cantidad de consultas y armar una lista de cuentas válidas de SoundCloud. Entonces, podrían entrar por la fuerza bruta.

Durante su investigación, los investigadores de Checkmarx descubrieron que SoundCloud no había puesto ningún límite en el número de intentos fallidos de inicio de sesión realizados en una sola cuenta. Armados con una lista de direcciones de correo electrónico asociadas con perfiles válidos de SoundCloud (que, como ya establecimos, no es difícil de obtener), los piratas informáticos podrían probar tantas contraseñas como quisieran para cada una de ellas. Un ataque de relleno de credenciales fue posiblemente aún más fácil. Lo único que los piratas informáticos debían hacer era evitar el limitador de velocidad, que, según Checkmarx, era posible con ligeras modificaciones de las solicitudes.

Los errores de seguridad hicieron que SoundCloud fuera vulnerable a los ataques DoS

El escenario no era exactamente exagerado, y la posibilidad de adquisición de cuenta, especialmente para las personas que reutilizan sus contraseñas, era muy real. Sin embargo, antes de informar la vulnerabilidad a SoundCloud, los expertos de Checkmarx decidieron investigar un poco más y buscar otras fallas que pudieran poner en riesgo a los usuarios o al servicio en sí. Resultó que había algunos problemas más.

La falta de limitación de recursos adecuada significaba que al manipular una solicitud al punto final / tracks de la API de SoundCloud, los investigadores lograron recuperar una lista de cerca de 700 ID de pistas. Bajo uso normal, la API devolvería solo 16 ID de pista, lo que debería darle una idea de la presión que las solicitudes creadas podrían ejercer sobre el hardware de SoundCloud. Fue un ataque de denegación de servicio distribuido (DDoS) esperando a suceder.

Otro error en la implementación de limitación de recursos y velocidad podría haber brindado a los atacantes la posibilidad de corromper los datos que SoundCloud estaba mostrando, y una versión anterior del servidor web Nginx proporcionó información sobre el sistema en el que se ejecutaba el servicio. Un error de validación de entrada en la API también significaba que un atacante podía ingresar largas cadenas de caracteres en el campo Descripción, Título y Género al cargar una nueva canción, lo que, en teoría, abrió la oportunidad para una mayor explotación.

SoundCloud corrigió las vulnerabilidades rápidamente

Los investigadores de Checkmarx sabían que SoundCloud tenía bastantes problemas para solucionar, por lo que no perdieron el tiempo revelando los problemas. El informe se envió el 11 de noviembre de 2019 y el mismo día, la plataforma de transmisión confirmó que ha comenzado a investigar. En menos de un mes, se repararon las vulnerabilidades más graves y, a fines de enero, se habían abordado todas las preocupaciones de Checkmarx.

En su informe, los investigadores notaron que están impresionados con la profesionalidad mostrada por el equipo de seguridad de SoundCloud. Desafortunadamente, hoy en día, no vemos esto tan a menudo como deberíamos.

February 13, 2020

Deja una respuesta