O SoundCloud foi alvo de ataques de preenchimento de credenciais devido ao número ilimitado de tentativas de login
Com mais de 170 milhões de usuários, o SoundCloud é sem dúvida uma das maiores plataformas de streaming de áudio do mundo. Segundo Alexa, ele está entre os 100 sites mais visitados, o que o tornou um candidato perfeito para uma boa olhada pela equipe de pesquisa de segurança da Checkmarx. Em novembro, os especialistas da Checkmarx estavam pesquisando o estado da segurança da API em plataformas online amplamente usadas. É seguro dizer que eles não ficaram particularmente felizes com o que encontraram no SoundCloud.
Os pesquisadores da Checkmarx descobriram várias vulnerabilidades de segurança na API do SoundCloud, que poderiam ter apresentado aos hackers muitas oportunidades de ataque. Na maioria dos cenários, os criminosos seriam capazes de fazer pouco mais do que interromper o serviço do SoundCloud, mas havia uma combinação de dois problemas de segurança que, combinados com os maus hábitos de senha das pessoas, poderiam ter permitido um ataque de controle de contas em larga escala.
Índice
Dois bugs do SoundCloud simplificaram os ataques de preenchimento de credenciais e força bruta
O preenchimento de credenciais é uma das maneiras mais fáceis de comprometer as contas on-line de um grande número de pessoas, o que não é surpreendente, considerando a grande quantidade de senhas roubadas que são derramadas na Internet todos os dias. Os bandidos também não evitam montar ataques de força bruta mais tradicionais quando têm a chance, e é por isso que, quando os pesquisadores da Checkmarx iniciaram sua investigação no sistema de autenticação do SoundCloud, uma de suas primeiras tarefas foi verificar se os usuários da plataforma de streaming estavam protegido contra esse tipo de atividades. Acabou que eles não estavam.
Primeiro, os pesquisadores perceberam que podiam enumerar as contas do SoundCloud com relativa facilidade. Eles pegaram um endereço de email e consultaram alguns dos pontos de extremidade da API (os que facilitam os processos de login e redefinição de senha). Nos dois casos, as respostas dos pontos de extremidade indicariam claramente se existe uma conta com esse endereço de e-mail, o que significa que, usando um script, um invasor pode executar automaticamente um grande número de consultas e montar uma lista de contas válidas do SoundCloud. Então, eles poderiam entrar com força bruta.
Durante sua investigação, os pesquisadores da Checkmarx descobriram que o SoundCloud não havia limitado o número de tentativas malsucedidas de login realizadas em uma única conta. Munidos de uma lista de endereços de email associados a perfis válidos do SoundCloud (que, como já estabelecemos, não são difíceis de obter), os hackers poderiam tentar quantas senhas quisessem para cada um deles. Um ataque de preenchimento de credenciais foi sem dúvida ainda mais fácil. A única coisa que os hackers precisavam fazer era ignorar o limitador de taxa, que, segundo a Checkmarx, era possível com pequenas modificações nas solicitações.
Erros de segurança tornaram o SoundCloud vulnerável a ataques DoS
O cenário não era exatamente exagerado, e a possibilidade de aquisição de contas, especialmente para pessoas que reutilizam suas senhas, era muito real. Antes de relatar a vulnerabilidade ao SoundCloud, no entanto, os especialistas da Checkmarx decidiram procurar um pouco mais e procurar outras falhas que poderiam colocar em risco os usuários ou o próprio serviço. Aconteceu que havia mais alguns problemas.
A falta de limitação adequada de recursos significava que, ao manipular uma solicitação no terminal / tracks da API do SoundCloud, os pesquisadores conseguiram recuperar uma lista de cerca de 700 IDs de faixas. Sob uso normal, a API retornaria apenas 16 IDs de faixa, o que lhe dará uma idéia de quanta pressão as solicitações criadas poderiam colocar no hardware do SoundCloud. Foi um ataque de negação de serviço distribuído (DDoS) esperando para acontecer.
Outro erro na implementação de limitação de recursos e taxas poderia ter dado aos invasores a chance de corromper os dados que o SoundCloud estava exibindo, e uma versão antiga do servidor da web Nginx divulgava informações sobre o sistema em que o serviço estava sendo executado. Um erro de validação de entrada na API também significava que um invasor poderia inserir longas seqüências de caracteres nos campos Descrição, Título e Gênero ao fazer upload de uma nova música, o que, teoricamente, abriu a oportunidade para exploração adicional.
O SoundCloud corrigiu as vulnerabilidades rapidamente
Os pesquisadores da Checkmarx sabiam que o SoundCloud tinha alguns problemas para corrigir, e é por isso que eles não perderam tempo divulgando os problemas. O relatório foi enviado em 11 de novembro de 2019 e, no mesmo dia, a plataforma de streaming confirmou que começou a investigar. Em menos de um mês, a mais grave das vulnerabilidades foi corrigida e, no final de janeiro, todas as preocupações da Checkmarx foram resolvidas.
Em seu relatório, os pesquisadores observaram que estão impressionados com o profissionalismo demonstrado pela equipe de segurança do SoundCloud. Infelizmente, atualmente, não vemos isso com a frequência que deveríamos.
