Coursera durchfällt API-Sicherheitstest in Prüfung durch Forscher

  • Zu den problematischen APIs gehörte numero uno auf der OWASP API Security Top 10: ein Broken Object Level Authorization (BOLA)-Problem, das persönliche Daten hätte offenlegen können.

    Forscher haben mehrere Application Programming Interface (API)-Probleme in Coursera entdeckt, der Online-Lernplattform, die von 82 Millionen Lernenden und Hunderten von Fortune-500-Unternehmen genutzt wird.

    Am Donnerstag veröffentlichte das Checkmarx Security Research Team einen Bericht über seine Ergebnisse, zu denen die Enumeration von Benutzern und Konten über die Funktion zum Zurücksetzen von Passwörtern, die fehlende Begrenzung von Ressourcen sowohl auf einer GraphQL- als auch auf einer REST-API, eine GraphQL-Fehlkonfiguration und das größte aller Probleme gehören: ein Broken Object Level Authorization (BOLA)-Problem, das sich auf die Einstellungen der Benutzer auswirkt.

    BOLA steht ganz oben auf der Top-10-Liste der API-Sicherheitsprobleme von OWASP, wenn man bedenkt, wie einfach diese Probleme auszunutzen sind und wie schwierig es ist, sich gegen diese Bedrohung “auf organisierte Weise” zu verteidigen.

    Courseras BOLA-Problem, das jetzt behoben ist, bedeutete, dass “anonyme Benutzer” Benutzereinstellungen abrufen und ändern konnten, so der Bericht, der vom Sicherheitsforscher Paulo Silva geschrieben wurde. Einige der Benutzereinstellungen, wie z. B. kürzlich angesehene Kurse und Zertifizierungen, gaben auch einige Metadaten preis: z. B. Datum und Uhrzeit der Aktivität.

    Silva sagte in dem Bericht, dass Checkmarx dazu inspiriert wurde, die Sicherheitslage von Coursera zu überprüfen, angesichts der Tatsache, dass “alles aus der Ferne” – einschließlich On-Demand- und E-Learning-Kurse – während der Pandemie geboomt hat.

    Schätzungen zufolge wird die Remote-Lern- und -Schulungsbranche bis 2025 eine 350-Milliarden-Dollar-Industrie sein, die von 18 Milliarden Dollar im Jahr 2019 ansteigt.

    Coursera erklärt in seinem Programm zur Offenlegung von Schwachstellen, dass Probleme bei der Zugriffskontrolle ein Sicherheitsproblem darstellen. Dazu gehört, wenn ein unbefugter Benutzer an die privaten Daten anderer Benutzer gelangen kann, wie z. B. deren Noten oder private Forenbeiträge. Andere Sicherheitsprobleme, die vom Offenlegungsprogramm der Plattform abgedeckt werden, sind solche, die es Benutzern ermöglichen, sich mit anderen Lernenden anzulegen, z. B. indem sie Skripte im Browser eines anderen Benutzers laufen lassen oder die Noten eines anderen Benutzers ändern. Schließlich deckt das Programm auch Lecks ab, die Courseras interne administrative Kontrollsysteme offenlegen.

    Das BOLA-Problem “passt perfekt” zu den Bedenken von Coursera in Bezug auf Zugangskontrollprobleme, erklärte Silva. “Diese Schwachstelle hätte missbraucht werden können, um die Kurspräferenzen der Benutzer in großem Umfang zu verstehen, aber auch, um die Auswahl der Benutzer irgendwie zu beeinflussen, da die Manipulation ihrer jüngsten Aktivitäten den Inhalt beeinflusste, der auf der Homepage von Coursera für einen bestimmten Benutzer angezeigt wurde”, schrieb er.

    Undichte APIs und die Schiffe, die sie versenken

    Im Allgemeinen sind APIs ein Vermittler zwischen Anwendungen, die definieren, wie sie miteinander sprechen können und die es ihnen ermöglichen, Informationen auszutauschen.

    API-Lecks sind keine Seltenheit und haben maßgeblich zu großen Sicherheitsproblemen beigetragen. Unsichere APIs waren der Grund dafür, dass Experian im April die Kreditwürdigkeit der meisten Amerikaner ausspionierte. Im Mai wurden durch eine undichte API die privaten Daten von Peloton-Fahrern weitergegeben.

    Schlecht programmierte APIs sind ein offensichtlicher Angriffsvektor und einer der häufigsten Bedrohungsvektoren, mit denen schlecht gesicherte Anwendungen ausgenutzt werden, um an Daten zu gelangen. Sie sind so häufig wie Löwenzahn im Frühling: Als die Forscherin Alissa Knight von Approov versuchte, in die APIs von 30 verschiedenen Anbietern von mHealth-Apps einzubrechen, stellte sie fest, dass sie alle mehr oder weniger verwundbar waren. Siebenundsiebzig Prozent von ihnen enthielten hartcodierte API-Schlüssel – von denen einige nicht ablaufen -, die es einem Angreifer ermöglichen würden, den API-Austausch von Informationen abzufangen. Sieben Prozent dieser APIs gehörten zu Drittanbieter-Zahlungsdienstleistern, die ausdrücklich davor warnen, ihre geheimen Schlüssel im Klartext zu kodieren.

    Knight fand außerdem heraus, dass 100 Prozent der getesteten API-Endpunkte anfällig für BOLA-Angriffe waren, die es dem Forscher ermöglichten, die persönlichen Gesundheitsdaten und persönlich identifizierbaren Informationen (PII) von Patienten einzusehen, die nicht dem Konto des Forschers zugeordnet waren.

    In seinem Bericht bestätigt Silva, dass API-Zugriffskontrollprobleme “eines der größten Sicherheitsprobleme für APIs sind.”

    “Da verwundbare APIs zunehmend in das Visier von Angreifern geraten, ist es entscheidend, dass Entwickler von Anfang an eine angemessene Ausbildung über Best Practices zur Einbettung von Sicherheit in ihr Design erhalten”, sagte er.

    Checkmarx teilte seine Erkenntnisse dem Sicherheitsteam von Coursera im Oktober mit. Bis zum 24. Mai 2021 hatte Coursera alle API-Probleme behoben, einschließlich eines neuen, das Checkmarx im Januar gefunden und gemeldet hatte.

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com