SoundCloudは、ログイン試行回数に制限がないため、クレデンシャルスタッフィング攻撃の標的になりました
1億7000万人を超えるユーザーを抱えるSoundCloudは、間違いなく世界最大のオーディオストリーミングプラットフォームの1つです。 Alexaによると、それはトップ100の最も訪問されたWebサイトにあるため、Checkmarxのセキュリティ研究チームがよく見て回るのに最適な候補になりました。 11月に、Checkmarxの専門家は、広く使用されているオンラインプラットフォームでのAPIセキュリティの状態を調査していました。 SoundCloud で見つけたものに特に満足していなかったと言っても過言ではありません。
Checkmarxの研究者は、SoundCloudのAPIにいくつかのセキュリティ上の脆弱性を発見しました。これは、ハッカーに多くの攻撃機会を与える可能性がありました。ほとんどのシナリオでは、犯罪者はSoundCloudのサービスを中断する以上のことはできませんでしたが、2つのセキュリティ監視の組み合わせがあり、人々の悪いパスワード習慣と相まって、大規模なアカウント乗っ取り攻撃を許可することができました。
Table of Contents
2つのSoundCloudバグにより、クレデンシャルスタッフィングとブルートフォース攻撃が容易になりました
クレデンシャルスタッフィングは、多数の人々のオンラインアカウントを侵害する最も簡単な方法の1つです。これは、毎日インターネットに流出する膨大な量の盗まれたパスワードを考えると驚くことではありません。詐欺師たちはまた、機会があればもっと伝統的なブルートフォース攻撃を仕掛けることを避けません。そのため、Checkmarxの研究者がSoundCloudの認証システムの調査を開始したとき、最初のタスクの1つはストリーミングプラットフォームのユーザーがこの種の活動から保護されています。彼らはそうではないことが判明した。
まず、研究者は、SoundCloudアカウントを比較的簡単に列挙できることに気付きました。電子メールアドレスを取得し、APIのエンドポイント(サインインとパスワードのリセットプロセスを容易にするエンドポイント)を照会しました。どちらの場合でも、エンドポイントの応答は、この電子メールアドレスを持つアカウントが存在するかどうかを明確に示します。つまり、スクリプトを使用すると、攻撃者は自動的に多数のクエリを実行し、有効なSoundCloudアカウントのリストを作成できます。その後、彼らは彼らの方法で総当たりすることができます。
調査中、Checkmarxの研究者は、SoundCloudが1つのアカウントで実行されるログイン試行の失敗回数に制限を設けていないことを発見しました。有効なSoundCloudプロファイルに関連付けられた電子メールアドレスのリスト(既に確立しているように、取得するのは難しくありません)を備えたハッカーは、それぞれのパスワードに必要なだけのパスワードを試すことができます。クレデンシャルスタッフィング攻撃は、おそらくさらに簡単でした。ハッカーがする必要があるのは、レートリミッターをバイパスすることだけでした。これは、Checkmarxによると、リクエストをわずかに変更することで可能になりました。
セキュリティエラーにより、SoundCloudはDoS攻撃に対して脆弱になりました
このシナリオは必ずしも大げさではなく、アカウントの乗っ取りの可能性、特にパスワードを再利用する人々にとっては非常に現実的でした。ただし、SoundCloudに脆弱性を報告する前に、Checkmarxの専門家は、ユーザーまたはサービス自体を危険にさらす可能性のある他の欠陥を探して、さらに調べてみることにしました。さらにいくつかの問題があることが判明しました。
適切なリソース制限がないため、SoundCloud APIの/ tracksエンドポイントへのリクエストを操作することで、研究者は700近いトラックIDのリストを取得できました。通常の使用では、APIは16個のトラックIDのみを返します。これにより、細工されたリクエストがSoundCloudのハードウェアにどれだけの圧力をかけるかがわかります。これは、分散サービス拒否(DDoS)攻撃が発生するのを待っていました。
リソースおよびレート制限の実装における別のエラーにより、攻撃者はSoundCloudが表示しているデータを破損する可能性があり、古いバージョンのNginx Webサーバーはサービスが実行されているシステムに関する情報を漏らしました。 APIの入力検証エラーは、攻撃者が新しい曲をアップロードするときに、説明、タイトル、およびジャンルフィールドに長い文字列を入力できることも意味し、理論的にはさらなる悪用の機会が開かれました。
SoundCloudは脆弱性を迅速に修正しました
Checkmarxの研究者は、SoundCloudに修正すべき問題がかなりあることを知っていたため、問題を開示する時間を無駄にしませんでした。レポートは2019年11月11日に送信され、同日、ストリーミングプラットフォームは調査を開始したことを確認しました。 1か月も経たないうちに、最も深刻な脆弱性が修正され、1月下旬までに、Checkmarxのすべての懸念が解決されました。
彼らのレポートでは、研究者は、SoundCloudのセキュリティチームが示したプロ意識に感銘を受けていると指摘しました。残念ながら、今日では、これほど頻繁に表示されることはありません。