SoundCloud était une cible pour les attaques de bourrage d'informations d'identification en raison du nombre illimité de tentatives de connexion
Avec plus de 170 millions d'utilisateurs, SoundCloud est sans aucun doute l'une des plus grandes plateformes de streaming audio au monde. Selon Alexa, il figure dans le Top 100 des sites Web les plus visités, ce qui en fait un candidat idéal pour un bon aperçu de l'équipe de recherche en sécurité de Checkmarx. En novembre dernier, les experts de Checkmarx effectuaient des recherches sur l'état de la sécurité des API sur les plateformes en ligne largement utilisées. Il est sûr de dire qu'ils n'étaient pas particulièrement satisfaits de ce qu'ils ont trouvé sur SoundCloud.
Les chercheurs de Checkmarx ont découvert plusieurs failles de sécurité dans l'API de SoundCloud, qui auraient pu offrir aux pirates de nombreuses opportunités d'attaques. Dans la plupart des scénarios, les criminels n'auraient pu rien faire de plus que perturber le service de SoundCloud, mais il y avait une combinaison de deux oublis de sécurité qui, couplés aux mauvaises habitudes de mot de passe des gens, auraient pu permettre une attaque de prise de contrôle de compte à grande échelle.
Table of Contents
Deux bogues SoundCloud ont facilité le bourrage d'informations d'identification et les attaques par force brute
Le bourrage d'informations d'identification est l'un des moyens les plus faciles de compromettre les comptes en ligne d'un grand nombre de personnes, ce qui n'est pas surprenant compte tenu des grandes quantités de mots de passe volés qui se répandent sur Internet chaque jour. Les escrocs n'hésitent pas non plus à monter des attaques par force brute plus traditionnelles lorsqu'ils en ont l'occasion, c'est pourquoi, lorsque les chercheurs de Checkmarx ont commencé leur enquête sur le système d'authentification de SoundCloud, l'une de leurs premières tâches a été de voir si les utilisateurs de la plateforme de streaming étaient protégé contre ce genre d'activités. Il s'est avéré que non.
Tout d'abord, les chercheurs ont réalisé qu'ils pouvaient énumérer les comptes SoundCloud avec une relative facilité. Ils ont pris une adresse e-mail et interrogé quelques points de terminaison de l'API (ceux facilitant les processus de connexion et de réinitialisation du mot de passe). Dans les deux cas, les réponses des points de terminaison indiqueraient clairement s'il existe un compte avec cette adresse e-mail, ce qui signifiait qu'en utilisant un script, un attaquant pourrait automatiquement effectuer un grand nombre de requêtes et dresser une liste de comptes SoundCloud valides. Ensuite, ils pourraient forcer leur passage.
Au cours de leur enquête, les chercheurs de Checkmarx ont découvert que SoundCloud n'avait fixé aucune limite au nombre de tentatives de connexion infructueuses effectuées sur un seul compte. Armés d'une liste d'adresses e-mail associées à des profils SoundCloud valides (qui, comme nous l'avons déjà établi, n'est pas difficile à obtenir), les pirates pourraient essayer autant de mots de passe qu'ils le voulaient pour chacun d'entre eux. Une attaque de bourrage d'informations d'identification était sans doute encore plus facile. La seule chose que les pirates devaient faire était de contourner le limiteur de débit, ce qui, selon Checkmarx, était possible avec de légères modifications des demandes.
Des erreurs de sécurité ont rendu SoundCloud vulnérable aux attaques DoS
Le scénario n'était pas exactement tiré par les cheveux et la possibilité de prise de contrôle de compte, en particulier pour les personnes qui réutilisent leurs mots de passe, était très réelle. Avant de signaler la vulnérabilité à SoundCloud, cependant, les experts de Checkmarx ont décidé de fouiller un peu plus et de rechercher d'autres failles qui pourraient mettre en danger les utilisateurs ou le service lui-même. Il s'est avéré qu'il y avait encore quelques problèmes.
Un manque de limitation des ressources appropriées signifiait qu'en manipulant une requête vers le point d'extrémité / tracks de l'API SoundCloud, les chercheurs ont réussi à récupérer une liste de près de 700 identifiants de piste. Dans des conditions normales d'utilisation, l'API ne retournerait que 16 identifiants de piste, ce qui devrait vous donner une idée de la pression que les demandes conçues pourraient exercer sur le matériel de SoundCloud. Il s'agissait d'une attaque par déni de service distribué (DDoS) en attente de se produire.
Une autre erreur dans l'implémentation limitant les ressources et le débit aurait pu donner aux attaquants la possibilité de corrompre les données affichées par SoundCloud, et une ancienne version du serveur Web Nginx a donné des informations sur le système sur lequel le service était exécuté. Une erreur de validation d'entrée dans l'API signifiait également qu'un attaquant pouvait entrer de longues chaînes de caractères dans le champ Description, Titre et Genre lors du téléchargement d'une nouvelle chanson, ce qui, théoriquement, ouvrait la possibilité d'une exploitation ultérieure.
SoundCloud a corrigé rapidement les vulnérabilités
Les chercheurs de Checkmarx savaient que SoundCloud avait pas mal de problèmes à résoudre, c'est pourquoi ils n'ont pas perdu de temps à divulguer les problèmes. Le rapport a été envoyé le 11 novembre 2019 et le même jour, la plateforme de streaming a confirmé qu'elle avait commencé à enquêter. En moins d'un mois, la plus grave des vulnérabilités a été corrigée et, fin janvier, toutes les préoccupations de Checkmarx avaient été résolues.
Dans leur rapport, les chercheurs ont noté qu'ils étaient impressionnés par le professionnalisme démontré par l'équipe de sécurité de SoundCloud. Malheureusement, de nos jours, nous ne voyons pas cela aussi souvent que nous le devrions.
