SoundCloud era un obiettivo per gli attacchi di ripieno di credenziali a causa del numero illimitato di tentativi di accesso

SoundCloud API Vulnerabilities

Con oltre 170 milioni di utenti, SoundCloud è senza dubbio una delle piattaforme di streaming audio più grandi del mondo. Secondo Alexa, è tra i primi 100 siti Web più visitati, il che lo ha reso un candidato perfetto per una buona occhiata da parte del team di ricerca sulla sicurezza di Checkmarx. A novembre, gli esperti di Checkmarx stavano studiando lo stato della sicurezza delle API in piattaforme online ampiamente utilizzate. È sicuro di dire che non erano particolarmente soddisfatti di ciò che hanno trovato su SoundCloud.

I ricercatori di Checkmarx hanno scoperto diverse vulnerabilità di sicurezza nell'API di SoundCloud, che avrebbe potuto offrire agli hacker molte opportunità di attacco. Nella maggior parte degli scenari, i criminali sarebbero stati in grado di fare poco più che interrompere il servizio di SoundCloud, ma c'era una combinazione di due svantaggi di sicurezza che, associati alle cattive abitudini delle password delle persone, avrebbero potuto consentire un attacco di acquisizione di account su larga scala.

Due bug di SoundCloud hanno semplificato il riempimento delle credenziali e gli attacchi di forza bruta

Il riempimento delle credenziali è uno dei modi più semplici per compromettere gli account online di un gran numero di persone, il che non sorprende considerando le enormi quantità di password rubate che vengono diffuse su Internet ogni giorno. I truffatori inoltre non evitano di montare attacchi più tradizionali di forza bruta quando ne hanno la possibilità, motivo per cui, quando i ricercatori di Checkmarx hanno iniziato le loro indagini sul sistema di autenticazione di SoundCloud, uno dei loro primi compiti era vedere se gli utenti della piattaforma di streaming fossero protetto da questo tipo di attività. Si è scoperto che non lo erano.

Innanzitutto, i ricercatori hanno capito che potevano enumerare gli account SoundCloud con relativa facilità. Hanno preso un indirizzo e-mail e interrogato un paio di endpoint dell'API (quelli che facilitano i processi di accesso e reimpostazione della password). In entrambi i casi, le risposte degli endpoint indicano chiaramente se esiste un account con questo indirizzo e-mail, il che significa che utilizzando uno script, un utente malintenzionato potrebbe eseguire automaticamente un gran numero di query e mettere insieme un elenco di account SoundCloud validi. Quindi, potrebbero entrare nella forza bruta.

Durante la loro indagine, i ricercatori di Checkmarx hanno scoperto che SoundCloud non aveva posto limiti al numero di tentativi di accesso non riusciti eseguiti su un singolo account. Armati di un elenco di indirizzi e-mail associati a profili SoundCloud validi (che, come abbiamo già stabilito, non è difficile da ottenere), gli hacker potevano provare tutte le password che desideravano per ognuno di essi. Un attacco di riempimento delle credenziali è stato probabilmente ancora più semplice. L'unica cosa che gli hacker dovevano fare era bypassare il limitatore di velocità, che, secondo Checkmarx, era possibile con lievi modifiche delle richieste.

Gli errori di sicurezza hanno reso SoundCloud vulnerabile agli attacchi DoS

Lo scenario non era esattamente inverosimile e la possibilità di acquisizione dell'account, soprattutto per le persone che riutilizzano le loro password, era molto reale. Prima di segnalare la vulnerabilità a SoundCloud, tuttavia, gli esperti di Checkmarx hanno deciso di cercare un po 'di più e cercare altri difetti che potrebbero mettere a rischio gli utenti o il servizio stesso. Si è scoperto che c'erano alcuni altri problemi.

La mancanza di un'adeguata limitazione delle risorse significava che manipolando una richiesta all'endpoint / track dell'API di SoundCloud, i ricercatori sono riusciti a recuperare un elenco di quasi 700 ID traccia. Nell'uso normale, l'API restituisce solo 16 ID traccia, il che dovrebbe darti un'idea di quanta pressione le richieste elaborate potrebbero esercitare sull'hardware di SoundCloud. Era un attacco DDoS (Distributed Denial of Service) in attesa di accadere.

Un altro errore nell'implementazione di risorse e limiti di velocità avrebbe potuto dare agli aggressori la possibilità di corrompere i dati visualizzati da SoundCloud e una vecchia versione del server Web Nginx forniva informazioni sul sistema su cui era in esecuzione il servizio. Un errore di convalida dell'input nell'API significava anche che un utente malintenzionato poteva inserire lunghe stringhe di caratteri nel campo Descrizione, Titolo e Genere durante il caricamento di un nuovo brano, che, teoricamente, ha aperto l'opportunità per un ulteriore sfruttamento.

SoundCloud ha risolto rapidamente le vulnerabilità

I ricercatori di Checkmarx sapevano che SoundCloud aveva alcuni problemi da risolvere, motivo per cui non hanno perso tempo a rivelare i problemi. Il rapporto è stato inviato l'11 novembre 2019 e lo stesso giorno la piattaforma di streaming ha confermato di aver iniziato le indagini. In meno di un mese, le vulnerabilità più gravi sono state corrette e alla fine di gennaio tutte le preoccupazioni di Checkmarx erano state risolte.

Nel loro rapporto, i ricercatori hanno notato che sono rimasti colpiti dalla professionalità dimostrata dal team di sicurezza di SoundCloud. Sfortunatamente, al giorno d'oggi, non lo vediamo così spesso come dovremmo.

February 13, 2020

Lascia un Commento