SoundCloud był celem ataków z użyciem poświadczeń z powodu nieograniczonej liczby prób logowania

SoundCloud API Vulnerabilities

Z ponad 170 milionami użytkowników SoundCloud jest bez wątpienia jedną z największych na świecie platform do strumieniowego przesyłania dźwięku. Według Alexy znajduje się na liście 100 najczęściej odwiedzanych stron internetowych, co czyni go idealnym kandydatem do dobrego rozglądania się przez zespół badań bezpieczeństwa Checkmarx. W listopadzie eksperci Checkmarx badali stan bezpieczeństwa API na szeroko używanych platformach internetowych. Można śmiało powiedzieć, że nie byli szczególnie zadowoleni z tego, co znaleźli w SoundCloud.

Badacze Checkmarx odkryli kilka luk w zabezpieczeniach interfejsu API SoundCloud, które mogły dać hakerom wiele możliwości ataku. W większości scenariuszy przestępcy byliby w stanie zrobić niewiele więcej niż zakłócić usługę SoundCloud, ale istniała kombinacja dwóch niedopatrzeń bezpieczeństwa, które w połączeniu z złymi nawykami ludzi mogły pozwolić na atak polegający na przejęciu konta na dużą skalę.

Dwa błędy SoundCloud ułatwiły upychanie poświadczeń i ataki typu brutute force

Wypełnianie poświadczeń jest jednym z najprostszych sposobów na narażenie kont internetowych dużej liczby osób, co nie jest zaskakujące, biorąc pod uwagę ogromne ilości skradzionych haseł, które są codziennie rozlewane w Internecie. Oszuści nie unikają też bardziej tradycyjnych ataków typu „brute-force”, kiedy mają taką szansę, dlatego badacze Checkmarx rozpoczęli dochodzenie w sprawie systemu uwierzytelniania SoundCloud, jednym z pierwszych zadań było sprawdzenie, czy użytkownicy platformy streamingowej byli chronione przed tego rodzaju działaniami. Okazało się, że nie byli.

Po pierwsze, naukowcy zdali sobie sprawę, że mogą zliczyć konta SoundCloud ze względną łatwością. Pobrali adres e-mail i sprawdzili kilka punktów końcowych interfejsu API (tych, które ułatwiają logowanie i resetowanie hasła). W obu przypadkach odpowiedzi punktów końcowych jasno wskazują, czy istnieje konto o tym adresie e-mail, co oznacza, że za pomocą skryptu osoba atakująca może automatycznie wykonać dużą liczbę zapytań i utworzyć listę prawidłowych kont SoundCloud. Wówczas mogliby wkroczyć brutalnie.

Podczas dochodzenia badacze Checkmarx dowiedzieli się, że SoundCloud nie ograniczył liczby nieudanych prób logowania na jednym koncie. Uzbrojeni w listę adresów e-mail powiązanych z prawidłowymi profilami SoundCloud (które, jak już ustaliliśmy, nie są trudne do uzyskania), hakerzy mogą wypróbować tyle haseł, ile chcą dla każdego z nich. Atak upychania referencji był prawdopodobnie jeszcze łatwiejszy. Jedyną rzeczą, którą hakerzy musieli zrobić, było ominięcie ogranicznika prędkości, co według Checkmarx było możliwe przy niewielkich modyfikacjach żądań.

Błędy bezpieczeństwa narażają SoundCloud na ataki DoS

Scenariusz nie był zbyt daleko idący, a możliwość przejęcia konta, szczególnie w przypadku osób, które ponownie wykorzystują swoje hasła, była bardzo realna. Jednak przed zgłoszeniem luki w zabezpieczeniach SoundCloud eksperci Checkmarx postanowili pogrzebać i poszukać innych wad, które mogłyby zagrozić użytkownikom lub samej usłudze. Okazało się, że było jeszcze kilka problemów.

Brak odpowiedniego ograniczenia zasobów oznaczał, że manipulując żądaniem do punktu końcowego / tracks API SoundCloud, badaczom udało się pobrać listę prawie 700 identyfikatorów ścieżek. W normalnym użyciu interfejs API zwróciłby tylko 16 identyfikatorów ścieżek, co powinno dać wyobrażenie o tym, jaką presję spreparowane żądania mogą wywrzeć na sprzęt SoundCloud. Był to atak DDoS (Distributed Denial of Service), który miał się wydarzyć.

Kolejny błąd w implementacji ograniczającej zasoby i szybkość mógł dać atakującym szansę na uszkodzenie danych wyświetlanych przez SoundCloud, a stara wersja serwera WWW Nginx podawała informacje o systemie, w którym działała usługa. Błąd sprawdzania poprawności danych wejściowych w interfejsie API oznaczał również, że atakujący mógł wprowadzić długie ciągi znaków w polu Opis, Tytuł i Gatunek podczas przesyłania nowej piosenki, co teoretycznie otworzyło możliwość dalszego wykorzystania.

SoundCloud szybko naprawił luki

Badacze Checkmarx wiedzieli, że SoundCloud ma sporo problemów do rozwiązania, dlatego też nie tracili czasu na ujawnianie problemów. Raport został wysłany 11 listopada 2019 r., A tego samego dnia platforma przesyłania strumieniowego potwierdziła, że rozpoczęła dochodzenie. W ciągu niespełna miesiąca naprawiono najcięższe luki, a do końca stycznia rozwiązano wszystkie obawy Checkmarx.

W swoim raporcie naukowcy zauważyli, że są pod wrażeniem profesjonalizmu zespołu bezpieczeństwa SoundCloud. Niestety obecnie nie widzimy tego tak często, jak powinniśmy.

February 13, 2020

Zostaw odpowiedź