SoundCloud был целью для атак с использованием учетных данных из-за неограниченного количества попыток входа в систему

SoundCloud, с более чем 170 миллионами пользователей, несомненно, является одной из крупнейших в мире платформ потокового аудио. По данным Alexa, он входит в Топ-100 самых посещаемых веб-сайтов, что сделало его идеальным кандидатом для внимательного изучения командой проверки безопасности Checkmarx. Еще в ноябре эксперты Checkmarx исследовали состояние безопасности API в широко используемых онлайн-платформах. Можно с уверенностью сказать, что они не были особенно довольны тем, что нашли в SoundCloud.

Исследователи Checkmarx обнаружили несколько уязвимостей безопасности в API SoundCloud, которые могли предоставить хакерам множество возможностей для атак. В большинстве сценариев злоумышленники смогли бы сделать немного больше, чем просто нарушить работу SoundCloud, но была комбинация двух мер безопасности, которые в сочетании с плохими привычками паролей людей могли бы позволить крупномасштабную атаку захвата учетной записи.

Две ошибки SoundCloud упростили процесс заполнения учетных данных и атаки методом перебора

Заполнение учетными данными - один из самых простых способов скомпрометировать онлайн-аккаунты большого числа людей, что неудивительно, учитывая огромное количество украденных паролей, которые выливаются в Интернет каждый день. Мошенники также не уклоняются от проведения более традиционных атак методом "грубой силы", когда у них есть такая возможность, поэтому, когда исследователи Checkmarx начали свое исследование системы аутентификации SoundCloud, одной из их первых задач было выяснить, были ли пользователи потоковой платформы. защищены от такого рода деятельности. Оказалось, что это не так.

Во-первых, исследователи поняли, что могут относительно легко перечислять учетные записи SoundCloud. Они взяли адрес электронной почты и запросили несколько конечных точек API (которые облегчают процессы входа и сброса пароля). В обоих случаях ответы конечных точек будут четко указывать, существует ли учетная запись с этим адресом электронной почты, что означает, что с помощью сценария злоумышленник может автоматически выполнить большое количество запросов и составить список действительных учетных записей SoundCloud. Тогда они могли бы грубой силой проникнуть внутрь.

В ходе своего расследования исследователи Checkmarx выяснили, что SoundCloud не ограничивает количество неудачных попыток входа в систему для одной учетной записи. Вооружившись списком адресов электронной почты, связанных с действительными профилями SoundCloud (которые, как мы уже установили, получить несложно), хакеры могут использовать столько паролей, сколько они хотят для каждого из них. Атака с использованием учетных данных была еще проще. Единственное, что нужно было сделать хакерам, это обойти ограничитель скорости, что, по мнению Checkmarx, было возможно при небольших изменениях запросов.

Ошибки безопасности сделали SoundCloud уязвимым для DoS-атак

Сценарий был не совсем надуманным, и возможность захвата аккаунта, особенно для людей, которые повторно используют свои пароли, была очень реальной. Однако прежде чем сообщать об уязвимости в SoundCloud, эксперты Checkmarx решили еще немного покопаться и поискать другие недостатки, которые могут подвергнуть риску пользователей или сам сервис. Оказалось, что было еще несколько проблем.

Отсутствие надлежащего ограничения ресурсов означало, что, манипулируя запросом к конечной точке / track API SoundCloud, исследователям удалось получить список из почти 700 идентификаторов дорожек. При нормальном использовании API будет возвращать только 16 идентификаторов дорожек, что должно дать вам представление о том, какое давление могут создавать созданные запросы на аппаратное обеспечение SoundCloud. Это была ожидаемая атака распределенного отказа в обслуживании (DDoS).

Другая ошибка в реализации ограничения ресурсов и скорости могла дать злоумышленникам возможность повредить данные, отображаемые SoundCloud, а старая версия веб-сервера Nginx выдавала информацию о системе, в которой работал сервис. Ошибка проверки ввода в API также означала, что злоумышленник мог вводить длинные строки символов в поле «Описание», «Название» и «Жанр» при загрузке новой песни, что теоретически открывало возможность для дальнейшей эксплуатации.

SoundCloud быстро исправил уязвимости

Исследователи Checkmarx знали, что SoundCloud нужно решить несколько проблем, поэтому они не теряли времени, раскрывая проблемы. Отчет был отправлен 11 ноября 2019 года, и в тот же день потоковая платформа подтвердила, что начала расследование. Менее чем за месяц была устранена самая серьезная из уязвимостей, и к концу января все проблемы Checkmarx были устранены.

В своем отчете исследователи отметили, что они впечатлены профессионализмом, продемонстрированным командой безопасности SoundCloud. К сожалению, в настоящее время мы видим это не так часто, как следовало бы.