Advertisement
Um cliente Verizon, que decidiu investigar a API privada alimentar da empresa My FiOS Android app descobriu uma vulnerabilidade maior que lhe permitiu aceder à conta de e-mail de qualquer outro cliente.
Em seu blog, o pesquisador de segurança Randy Westergren detalhou como ele percebeu que uma solicitação de API para recuperar os e-mails em sua caixa incluiu duas referências ao seu nome de usuário. Westergren assumido que a substituição do nome de usuário com outro não teria nenhum efeito. "A alteração do parâmetro uid e especificar outro nome de usuário não deve ter um efeito, desde que eu estou conectado e minha sessão é mantida através de meus biscoitos", escreveu ele.
Mas esse não foi o caso. "Substituindo a uid com o nome de usuário de outra conta de e-mail, de fato retornou o conteúdo de sua caixa de entrada," Westergren ficou chocado ao descobrir. Além do mais, ele descobriu que outros métodos de API, incluindo um método usado para enviar e-mails, eram vulneráveis à mesma falha simples, dando-lhe a capacidade de enviar e-mails de outras contas de usuário.
Relacionados: como os hackers crack APIs supostamente seguros e privados
Reconhecendo que ele tinha tropeçado em uma questão de segurança enorme, Westergren correram para preparar um script Python prova-de-conceito para enviar a Verizon. "Ser uma empresa tão grande, eu pensei que era, provavelmente, vai ser difícil entrar em contato com as pessoas certas", explicou. "Eu tentei a sua conta no Twitter, mas os seus representantes de serviço ao cliente não foram muito útil. Depois de ler [um] artigo, eu imaginei chegando a alguém em CorporateSecurity@verizonwireless.com seria, pelo menos, me aponte na direção certa. Eles realmente respondeu muito rapidamente e confirmou que eles eram o grupo certo para comunicar o problema a ".
Westergren recebeu uma resposta da Verizon no mesmo dia em que apresentou o seu relatório, e que o problema foi corrigido e confirmados fixo dentro de dois dias. Em troca de sua ajuda, Verizon oferecido Westergren um ano grátis de serviço de Internet.
O lado bom da Snooping API privada
Pronta resposta da Verizon para a vulnerabilidade de segurança Westergren descoberto é louvável. As empresas têm a obrigação de fazer direito por seus clientes, e abordar questões que colocam os dados de seus clientes em risco exige o tipo de reação Verizon fornecido.
Mas a natureza dessa vulnerabilidade de segurança também demonstra a importância de fazer da segurança uma prioridade do início ao fim. Especificamente, parece que a Verizon não conseguiu seguir as melhores práticas para autenticação. Submeter usernames como parâmetro - através de uma conexão não criptografada não menos - e não realizar verificações básicas para garantir que o cliente que solicita os dados de um usuário foi autorizado a visualizar os dados do usuário que é um embaraçoso e, francamente indesculpáveis gafe.
Felizmente para Verizon, a facilidade com que a sua API privado poderia ser inspecionados tornou possível que alguém como Westergren para identificar uma falha que, nas mãos erradas, poderia ter sido usado para causar estragos. Isto serve como um lembrete de que como as empresas lidam com proteção de suas APIs privadas, devem ter cuidado com confundindo obscuridade para a segurança. Como Aldo Cortesi, o criador do mitmproxy, uma das ferramentas mais populares para a engenharia reversa APIs privadas , recentemente me disse: "APIs, como implementações de criptografia, estão no seu melhor quando são desenvolvidas de forma aberta e amplamente examinado."
