SoundCloudは、ログイン試行回数に制限がないため、クレデンシャルスタッフィング攻撃の標的になりました

SoundCloud API Vulnerabilities

1億7000万人を超えるユーザーを抱えるSoundCloudは、間違いなく世界最大のオーディオストリーミングプラットフォームの1つです。 Alexaによると、それはトップ100の最も訪問されたWebサイトにあるため、Checkmarxのセキュリティ研究チームがよく見て回るのに最適な候補になりました。 11月に、Checkmarxの専門家は、広く使用されているオンラインプラットフォームでのAPIセキュリティの状態を調査していました。 SoundCloud で見つけものに特に満足していなかったと言っても過言ではありません。

Checkmarxの研究者は、SoundCloudのAPIにいくつかのセキュリティ上の脆弱性を発見しました。これは、ハッカーに多くの攻撃機会を与える可能性がありました。ほとんどのシナリオでは、犯罪者はSoundCloudのサービスを中断する以上のことはできませんでしたが、2つのセキュリティ監視の組み合わせがあり、人々の悪いパスワード習慣と相まって、大規模なアカウント乗っ取り攻撃を許可することができました。

2つのSoundCloudバグにより、クレデンシャルスタッフィングとブルートフォース攻撃が容易になりました

クレデンシャルスタッフィングは、多数の人々のオンラインアカウントを侵害する最も簡単な方法の1つです。これは、毎日インターネットに流出する膨大な量の盗まれたパスワードを考えると驚くことではありません。詐欺師たちはまた、機会があればもっと伝統的なブルートフォース攻撃を仕掛けることを避けません。そのため、Checkmarxの研究者がSoundCloudの認証システムの調査を開始したとき、最初のタスクの1つはストリーミングプラットフォームのユーザーがこの種の活動から保護されています。彼らはそうではないことが判明した。

まず、研究者は、SoundCloudアカウントを比較的簡単に列挙できることに気付きました。電子メールアドレスを取得し、APIのエンドポイント(サインインとパスワードのリセットプロセスを容易にするエンドポイント)を照会しました。どちらの場合でも、エンドポイントの応答は、この電子メールアドレスを持つアカウントが存在するかどうかを明確に示します。つまり、スクリプトを使用すると、攻撃者は自動的に多数のクエリを実行し、有効なSoundCloudアカウントのリストを作成できます。その後、彼らは彼らの方法で総当たりすることができます。

調査中、Checkmarxの研究者は、SoundCloudが1つのアカウントで実行されるログイン試行の失敗回数に制限を設けていないことを発見しました。有効なSoundCloudプロファイルに関連付けられた電子メールアドレスのリスト(既に確立しているように、取得するのは難しくありません)を備えたハッカーは、それぞれのパスワードに必要なだけのパスワードを試すことができます。クレデンシャルスタッフィング攻撃は、おそらくさらに簡単でした。ハッカーがする必要があるのは、レートリミッターをバイパスすることだけでした。これは、Checkmarxによると、リクエストをわずかに変更することで可能になりました。

セキュリティエラーにより、SoundCloudはDoS攻撃に対して脆弱になりました

このシナリオは必ずしも大げさではなく、アカウントの乗っ取りの可能性、特にパスワードを再利用する人々にとっては非常に現実的でした。ただし、SoundCloudに脆弱性を報告する前に、Checkmarxの専門家は、ユーザーまたはサービス自体を危険にさらす可能性のある他の欠陥を探して、さらに調べてみることにしました。さらにいくつかの問題があることが判明しました。

適切なリソース制限がないため、SoundCloud APIの/ tracksエンドポイントへのリクエストを操作することで、研究者は700近いトラックIDのリストを取得できました。通常の使用では、APIは16個のトラックIDのみを返します。これにより、細工されたリクエストがSoundCloudのハードウェアにどれだけの圧力をかけるかがわかります。これは、分散サービス拒否(DDoS)攻撃が発生するのを待っていました。

リソースおよびレート制限の実装における別のエラーにより、攻撃者はSoundCloudが表示しているデータを破損する可能性があり、古いバージョンのNginx Webサーバーはサービスが実行されているシステムに関する情報を漏らしました。 APIの入力検証エラーは、攻撃者が新しい曲をアップロードするときに、説明、タイトル、およびジャンルフィールドに長い文字列を入力できることも意味し、理論的にはさらなる悪用の機会が開かれました。

SoundCloudは脆弱性を迅速に修正しました

Checkmarxの研究者は、SoundCloudに修正すべき問題がかなりあることを知っていたため、問題を開示する時間を無駄にしませんでした。レポートは2019年11月11日に送信され、同日、ストリーミングプラットフォームは調査を開始したことを確認しました。 1か月も経たないうちに、最も深刻な脆弱性が修正され、1月下旬までに、Checkmarxのすべての懸念が解決されました。

彼らのレポートでは、研究者は、SoundCloudのセキュリティチームが示したプロ意識に感銘を受けていると指摘しました。残念ながら、今日では、これほど頻繁に表示されることはありません。

Duran
February 13, 2020
News
日本語
February 13, 2020
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。