Una vulnerabilidad en la API de Coursera, pudo permitir la filtración de datos de usuarios
Hace pocos dias se dio a conocer una vulnerabilidad en la popular plataforma de cursos en línea Coursera y es que el problema que tuvo radico en la API, por lo que se cree que es muy posible que hackers podrían haber abusado de la vulnerabilidad «BOLA» para comprender las preferencias de curso de los usuarios, así como para sesgar las opciones de curso de un usuario.
Además de que tambien se cree que las vulnerabilidades recientemente reveladas podrían haber expuesto los datos del usuario antes de ser reparados. Estos fallos fueron descubiertos por investigadores de la empresa de pruebas de seguridad de aplicaciones Checkmarx y publicadas durante la semana pasada.
Las vulnerabilidades se relacionan con una variedad de interfaces de programación de aplicaciones de Coursera y los investigadores decidieron profundizar en la seguridad de Coursera debido a su creciente popularidad a través del cambio al trabajo y el aprendizaje en línea debido a la pandemia de COVID-19.
Para quienes desconocen de Coursera, deben saber que esta es una empresa que tiene 82 millones de usuarios y trabaja con más de 200 empresas y universidades. Las asociaciones notables incluyen la Universidad de Illinois, la Universidad de Duke, Google, la Universidad de Michigan, International Business Machines, el Imperial College London, la Universidad de Stanford y la Universidad de Pennsylvania.
Se descubrieron varios problemas de API, incluida la enumeración de usuario/cuenta a través de la función de restablecimiento de contraseña, la falta de recursos que limitan tanto la API GraphQL como la REST, y una configuración incorrecta de GraphQL. En particular, un problema de autorización de nivel de objeto roto encabeza la lista.
Al interactuar con la aplicación web de Coursera como usuarios habituales (estudiantes), notamos que los cursos vistos recientemente se mostraban en la interfaz de usuario. Para representar esta información, detectamos varias solicitudes de API GET al mismo punto final: /api/userPreferences.v1/{USER_ID}~{PREFERENCE_TYPE}.
La vulnerabilidad de la API BOLA se describe como preferencias del usuario afectadas. Aprovechando la vulnerabilidad, incluso los usuarios anónimos pudieron recuperar las preferencias, pero también cambiarlas. Algunas de las preferencias, como los cursos y las certificaciones vistos recientemente, también filtran algunos metadatos. Las fallas de BOLA en las API pueden exponer puntos finales que manejan identificadores de objetos, lo que podría abrir la puerta a ataques más amplios.
«Esta vulnerabilidad podría haberse abusado para comprender las preferencias de cursos de los usuarios generales a gran escala, pero también para sesgar de alguna manera las elecciones de los usuarios, ya que la manipulación de su actividad reciente afectó el contenido presentado en la página de inicio de Coursera para un usuario específico», explican los investigadores.
«Desafortunadamente, los problemas de autorización son bastante comunes con las API», dicen los investigadores. «Es muy importante centralizar las validaciones de control de acceso en un solo componente, bien probado, continuamente probado y mantenido activamente. Los nuevos puntos finales de API, o los cambios a los existentes, deben revisarse cuidadosamente con respecto a sus requisitos de seguridad».
Los investigadores notaron que los problemas de autorización son bastante comunes con las API y que, como tal, es importante centralizar las validaciones de control de acceso. Hacerlo debe ser a través de un componente único, bien probado y de mantenimiento continuo.
Las vulnerabilidades descubiertas se enviaron al equipo de seguridad de Coursera el 5 de octubre. La confirmación de que la compañía recibió el informe y estaba trabajando en él se produjo el 26 de octubre, y Coursera le escribió posteriormente a Cherkmarx diciendo que habían resuelto los problemas el 18 de diciembre hasta el 2 de enero y Coursera luego envió un informe de nueva prueba con un nuevo problema. Finalmente, el 24 de mayo, Coursera confirmó que todos los problemas estaban solucionados.
A pesar del plazo bastante largo desde la divulgación hasta la corrección, los investigadores dijeron que fue un placer trabajar con el equipo de seguridad de Coursera.
“Su profesionalismo y cooperación, así como la rápida propiedad que asumieron, es lo que esperamos cuando nos relacionamos con empresas de software”, concluyeron.
Fuente: https://www.checkmarx.com