0
0
Um provedor de serviços de carteira de criptomoeda que atende a mais de 2 milhões de usuários em todo o mundo e gerencia cerca de US$ 3 bilhões em Bitcoin contém vulnerabilidades de API ligadas à forma como os logins de autenticação externa foram implementados.
Os bugs foram corrigidos, mas a descoberta ilustra as altas apostas envolvidas na implementação de APIs com segurança, dizem os pesquisadores — e as dificuldades em fazê-lo.
De acordo com um relatório compartilhado com a Dark Reading da Salt Labs, a divisão de pesquisa da Salt Security, uma série de vulnerabilidades (CVEs não foram atribuídas) poderia ter permitido que os atores assumissem uma grande parte da conta de um usuário no sistema.
Essa vulnerabilidade teria dado a um agente mal-intencionado acesso total, juntamente com a capacidade de realizar várias ações financeiras em nome desse usuário, incluindo a transferência de fundos para qualquer local de sua escolha.
“Uma vez que tenhamos feito login com sucesso nas contas de um usuário, podemos potencialmente usar qualquer funcionalidade disponível para o usuário, incluindo transferência de fundos, visualização do histórico de transações, visualização dos dados pessoais do usuário, que podem incluir nome, endereço, número da conta bancária e outros dados valiosos”, observam os pesquisadores do Salt no relatório.
O primeiro bug envolveu o recurso comum encontrado em aplicativos móveis que permitem que os usuários façam login usando um serviço externo, como ID Apple, Google, Facebook ou Twitter. Neste caso, os pesquisadores examinaram a opção “log in with Google” — e descobriram que o mecanismo de token de autenticação poderia ser manipulado para aceitar um ID desonesto do Google como sendo o do usuário legítimo.
O segundo bug permitiu que os pesquisadores contornassem a autenticação de dois fatores. Verificou-se que um mecanismo de redefinição de PIN não limita a taxa, permitindo que eles montassem um ataque automatizado para descobrir o código enviado para o número de celular ou e-mail de um usuário.
“Este endpoint não contém nenhum tipo de limitação de taxa, bloqueio de usuário ou funcionalidade temporária de desativação de conta. Basicamente, agora podemos executar todas as 999.999 opções de PIN e obter o PIN correto em menos de 1 minuto”, de acordo com os pesquisadores.
Cada problema de segurança por si só forneceu habilidades limitadas ao atacante, de acordo com o relatório. “No entanto, um atacante poderia encadear esses problemas para propagar um ataque altamente impactante, como transferir todo o saldo da conta para sua carteira ou conta bancária privada.”
Yaniv Balmas, vice-presidente de pesquisa da Salt, explica que há dois fatores que tornaram essas vulnerabilidades impactantes e perigosas.
“Em primeiro lugar, é muito facilmente explorável e, em segundo lugar, uma exploração bem-sucedida pode levar ao roubo de milhões de dólares — ou mais — de contas pessoais e comerciais”, diz ele.
Implementações de APIs ruins: uma lição importante de objeto
Como observado, o provedor de carteira corrigiu rapidamente as implementações da API em questão, mas há conclusões importantes da análise, explica Balmas. Afinal, como todo o mercado de criptomoedas é relativamente jovem, a maioria dos serviços neste domínio depende fortemente de APIs como parte de suas principais tecnologias.
“Ainda não vi nenhum serviço de criptomoeda que não publique algum tipo de API para facilitar as interações automatizadas com suas funcionalidades”, diz ele. “Essa dependência de APIs, por sua vez, surge outro problema.”
Ele explica que as APIs são projetadas para serem interfaces dinâmicas e em rápida evolução para as principais funcionalidades de negócios, o que é obviamente muito positivo do ponto de vista do usuário.
“No entanto, esse mesmo comportamento abre a porta para muitos problemas de segurança e vulnerabilidades que podem passar despercebidos”, diz ele. “Portanto, vemos com grande frequência em nossos esforços de pesquisa um estado relativamente ruim de segurança da API, às vezes com sérias implicações nos negócios.”
A segurança da API é uma grande preocupação à medida que o uso cresce
À medida que o desenvolvimento ágil cresce em popularidade, as organizações estão recorrendo a APIs, resultando em superfícies de ataque mais amplas mais vulneráveis à exploração por atores de ameaças. Uma análise recente da empresa de segurança de aplicativos Imperva e da empresa de estratégia de risco Marsh McLennan de violações envolvendo APIs revelou que as empresas dos EUA enfrentam perdas combinadas de US$ 12 bilhões a US$ 23 bilhões em 2022.
Enquanto isso, um relatório de março do Salt Labs descobriu que os ataques de API aumentaram 681% no ano passado, com o tráfego de ataques de API crescendo em mais do que o dobro da taxa de tráfego não malicioso. Mais uma vez, muito disso pode ser devido a erros de implementação e configuração: em maio, por exemplo, os pesquisadores da Shadowserver Foundation descobriram que 380.000 servidores de API do Kubernetes estavam abertos à Internet pública, representando 84% de todas as instâncias globais da API do Kubernetes observáveis on-line.
A superfície de ataque da API deve ser rastreada e monitorada
Balmas observa outro problema com as APIs e sua natureza é que, uma vez que um ecossistema de API fica grande, torna-se muito difícil ter um controle completo sobre ele. Com vários aplicativos e serviços internos, cada um publicando seus próprios conjuntos exclusivos de APIs, às vezes é muito difícil para os mantenedores saber quais APIs são publicadas em um determinado momento.
“É por isso que as medidas de visibilidade e consolidação da API às vezes são a primeira – e importante – etapa para proteger as APIs de uma empresa”, diz ele.
A Balmas recomenda que as plataformas de criptomoedas e quaisquer outros usuários pesados da API comecem a prestar mais atenção à superfície de ataque da API que elas expõem.
“Esta nova superfície de ataque deve ser cuidadosamente rastreada e monitorada”, acrescenta ele. “Os serviços por trás disso devem ser revisados mais cuidadosamente periodicamente para garantir que novos problemas de segurança tenham sido introduzidos, e o monitoramento comportamental deve ser aplicado ao tráfego em andamento para detectar anomalias que possam estar acontecendo em um esforço para encontrar e explorar vulnerabilidades.”
FONTE: DARK READING