SoundCloud was een doelwit voor aanmeldingsaanvallen met referenties vanwege het onbeperkte aantal aanmeldingspogingen
Met meer dan 170 miljoen gebruikers is SoundCloud ongetwijfeld een van 's werelds grootste audiostreamingplatforms. Volgens Alexa staat het in de Top 100 meest bezochte websites, waardoor het een perfecte kandidaat is voor een goed rondkijken door het onderzoeksteam van Checkmarx. In november deden de experts van Checkmarx onderzoek naar de status van API-beveiliging in veelgebruikte online platforms. Het is veilig om te zeggen dat ze niet bijzonder blij waren met wat ze bij SoundCloud vonden.
De onderzoekers van Checkmarx ontdekten verschillende beveiligingsproblemen in de API van SoundCloud, waardoor hackers veel aanvalsmogelijkheden hadden kunnen bieden. In de meeste scenario's hadden de criminelen niet veel meer kunnen doen dan de service van SoundCloud verstoren, maar er was een combinatie van twee beveiligingscontroles die, in combinatie met de slechte wachtwoordgewoonten van mensen, een grootschalige aanval op accountacquisitie hadden kunnen toestaan.
Table of Contents
Twee SoundCloud-bugs maakten het vullen van referenties en brute-force-aanvallen eenvoudig
Het vullen van referenties is een van de gemakkelijkste manieren om de online accounts van een groot aantal mensen te compromitteren, wat niet verwonderlijk is gezien de enorme hoeveelheden gestolen wachtwoorden die elke dag op internet worden gemorst. Crooks schuwen ook niet om meer traditionele brute-force aanvallen uit te voeren wanneer ze de kans krijgen. Daarom, toen de onderzoekers van Checkmarx hun onderzoek begonnen naar het authenticatiesysteem van SoundCloud, was een van hun eerste taken om te zien of de gebruikers van het streamingplatform beschermd tegen dit soort activiteiten. Het bleek dat ze dat niet waren.
Ten eerste beseften de onderzoekers dat ze SoundCloud-accounts met relatief gemak konden opsommen. Ze namen een e-mailadres en vroegen naar een paar eindpunten van de API (degene die het inloggen en het opnieuw instellen van het wachtwoord vergemakkelijken). In beide gevallen zouden de antwoorden van de eindpunten duidelijk aangeven of er een account met dit e-mailadres bestaat, wat betekent dat een aanvaller automatisch een groot aantal query's kan uitvoeren en een lijst met geldige SoundCloud-accounts kan maken. Daarna konden ze zich bruut binnendringen.
Tijdens hun onderzoek kwamen de onderzoekers van Checkmarx erachter dat SoundCloud geen limiet had gesteld aan het aantal mislukte inlogpogingen op één account. Gewapend met een lijst met e-mailadressen die zijn gekoppeld aan geldige SoundCloud-profielen (die, zoals we al hebben vastgesteld, niet moeilijk te verkrijgen is), konden de hackers voor elk van hen zo veel wachtwoorden proberen als ze wilden. Een opvallende aanval met referenties was aantoonbaar nog eenvoudiger. Het enige dat de hackers moesten doen, was de snelheidsbegrenzer omzeilen, wat volgens Checkmarx mogelijk was met lichte wijzigingen van de verzoeken.
Beveiligingsfouten maakten SoundCloud kwetsbaar voor DoS-aanvallen
Het scenario was niet bepaald vergezocht en de mogelijkheid van accountovername, vooral voor mensen die hun wachtwoorden hergebruiken, was heel reëel. Voordat de kwetsbaarheid aan SoundCloud werd gemeld, besloten de experts van Checkmarx echter wat meer rond te snuffelen en te zoeken naar andere fouten die gebruikers of de service zelf in gevaar zouden kunnen brengen. Het bleek dat er nog een paar problemen waren.
Een gebrek aan juiste bronbeperking betekende dat de onderzoekers door het manipuleren van een verzoek aan het / tracks eindpunt van SoundCloud's API een lijst met bijna 700 track-ID's konden ophalen. Bij normaal gebruik retourneert de API slechts 16 track-ID's, wat u een idee moet geven van hoeveel druk de bewerkte aanvragen zouden kunnen uitoefenen op de hardware van SoundCloud. Het was een DDoS-aanval (Distributed Denial of Service) die stond te wachten.
Een andere fout in de resource- en snelheidsbeperkende implementatie had aanvallers de kans kunnen geven om de gegevens te beschadigen die SoundCloud vertoonde, en een oude versie van de Nginx-webserver gaf informatie weg over het systeem waarop de service werd uitgevoerd. Een invoervalidatiefout in de API betekende ook dat een aanvaller lange reeksen tekens in het veld Beschrijving, Titel en Genre kon invoeren bij het uploaden van een nieuw nummer, wat in theorie de mogelijkheid voor verdere exploitatie opende.
SoundCloud lost de kwetsbaarheden snel op
De onderzoekers van Checkmarx wisten dat SoundCloud nogal wat problemen moest oplossen, waardoor ze geen tijd verspilden aan het vrijgeven van de problemen. Het rapport werd verzonden op 11 november 2019 en op dezelfde dag bevestigde het streamingplatform dat het onderzoek is begonnen. Binnen minder dan een maand werden de ernstigste kwetsbaarheden hersteld en eind januari waren alle zorgen van Checkmarx weggenomen.
In hun rapport merkten de onderzoekers op dat ze onder de indruk zijn van de professionaliteit van het beveiligingsteam van SoundCloud. Helaas zien we dit tegenwoordig niet zo vaak als we zouden moeten.
