SoundCloud var et mål for legitimitetsfylte angrep på grunn av det ubegrensede antall påloggingsforsøk
Med over 170 millioner brukere er SoundCloud utvilsomt en av verdens største plattformer for lydstrømming. I følge Alexa er det blant de 100 mest besøkte nettstedene, noe som gjorde det til en perfekt kandidat for et godt blikk rundt Checkmarxs sikkerhetsforskningsteam. Tilbake i november undersøkte Checkmarx eksperter tilstanden til API-sikkerhet i mye brukte online plattformer. Det er trygt å si at de ikke var spesielt fornøyde med det de fant på SoundCloud.
Checkmarxs forskere oppdaget flere sikkerhetssårbarheter i SoundCloud API, som kunne ha gitt hackere mange angrepsmuligheter. I de fleste scenarier ville de kriminelle ha klart å gjøre lite mer enn å forstyrre SoundCloud-tjenesten, men det var en kombinasjon av to sikkerhetsoppsyn som, sammen med folks dårlige passordvaner, kunne ha tillatt et storskala overtakelse av kontoen.
Table of Contents
To SoundCloud-feil gjorde det enkelt å angripe fylling og brute-force-angrep
Legitimasjonsstopping er en av de enkleste måtene å kompromittere nettkontoer til et stort antall mennesker, noe som ikke er overraskende med tanke på de store mengdene stjålne passord som blir sølt på internett hver dag. Crooks heller ikke viker fra å montere mer tradisjonelle brute-force-angrep når de får sjansen, og det er grunnen til at når Checkmarxs forskere startet sin undersøkelse av SoundClouds autentiseringssystem, var en av deres første oppgaver å se om streamingplattformens brukere var beskyttet mot denne typen aktiviteter. Det viste seg at de ikke var det.
For det første innså forskerne at de relativt enkelt kunne oppregne SoundCloud-kontoer. De tok en e-postadresse og stilte spørsmål ved et par av API-endepunktene (de som letter innloggings- og passord-tilbakestillingsprosesser). I begge tilfeller vil endepunktenes svar tydelig indikere om det finnes en konto med denne e-postadressen, noe som innebar at ved å bruke et skript, kunne en angriper automatisk utføre et stort antall spørsmål og sette sammen en liste med gyldige SoundCloud-kontoer. Deretter kunne de brute-force seg inn.
Under undersøkelsen fant Checkmarxs forskere ut at SoundCloud ikke hadde satt noen begrensning for antall mislykkede påloggingsforsøk som ble utført på en enkelt konto. Bevæpnet med en liste over e-postadresser tilknyttet gyldige SoundCloud-profiler (som vi allerede har etablert, ikke er vanskelig å få tak i), kunne hackerne prøve så mange passord de ville ha for hver og en av dem. Et legitimt utstoppingsangrep var uten tvil enda enklere. Det eneste hackerne trengte å gjøre var å omgå takstbegrenseren, som ifølge Checkmarx var mulig med små modifikasjoner av forespørslene.
Sikkerhetsfeil gjorde SoundCloud sårbar for DoS-angrep
Scenariet var ikke nøyaktig langsiktig, og muligheten for overtakelse av kontoen, spesielt for folk som gjenbruker passordene sine, var veldig reell. Før rapportering av sårbarheten til SoundCloud, bestemte imidlertid Checkmarxs eksperter seg for å gjøre noe mer og lete etter andre feil som kan sette brukere eller selve tjenesten i fare. Det viste seg at det var noen flere problemer.
Mangel på riktig ressursbegrensning betydde at ved å manipulere en forespørsel til / sporets endepunkt for SoundCloud API, klarte forskerne å hente en liste med nærmere 700 spor-IDer. Under normal bruk ville API returnere bare 16 spor-ID-er, noe som skulle gi deg en ide om hvor mye press de anlagte forespørslene kan legge på SoundCloud sin maskinvare. Det var et distribuert denial of service (DDoS) angrep som ventet på å skje.
En annen feil i ressurs- og hastighetsbegrensende implementering kunne ha gitt angripere sjansen til å ødelegge dataene som SoundCloud viste, og en gammel versjon av Nginx webserver ga bort informasjon om systemet tjenesten kjørte på. En inngangsvalideringsfeil i API betydde også at en angriper kunne legge inn lange strengene med tegn i feltet Beskrivelse, tittel og sjanger når han lastet opp en ny sang, som teoretisk sett åpnet muligheten for ytterligere utnyttelse.
SoundCloud løste sårbarhetene raskt
Checkmarxs forskere visste at SoundCloud hadde ganske mange problemer å fikse, og det er grunnen til at de ikke kastet bort tid på å avsløre problemene. Rapporten ble sendt 11. november 2019, og samme dag bekreftet streamingplattformen at den har startet etterforskning. I løpet av mindre enn en måned ble de alvorligste av sårbarhetene oppdatert, og i slutten av januar hadde alle bekymringene til Checkmarx blitt adressert.
I rapporten bemerket forskerne at de er imponert over profesjonaliteten som er vist av SoundClouds sikkerhetsteam. Dessverre, i dag, ser vi ikke dette så ofte vi burde.
