Soundcloud patch plusieurs failles de sécurité sur son site

La plate-forme musicale en ligne SoundCloud, qui peut être considérée comme un YouTube audio pour les créateurs de musique, a patché plusieurs failles de sécurité dans ses API (Interfaces de Programmation d’Application) qui pourraient conduire à un déni de service (DoS) ou à la prise de contrôle de compte.

Selon le chercheur Paulo Silva de Checkmarx Security Research, trois groupes différents de vulnérabilités ont été trouvés dans la plate-forme: un problème d’authentification qui pourrait mener à une prise de contrôle de compte, un bug limitant le débit et qui mène à une possibilité de déni de service et un problème de validation d’entrée.

Le problème d’authentification est causé par l’absence de limite au nombre de tentatives de connexion autorisé avant de bloquer les tentatives. Cela permet de lancer des attaques illimitées par force brute pour essayer de deviner les mots de passe.

“Le point de terminaison /sign-in/password de api-v2.soundcloud.com n’implémente pas un verrouillage de compte approprié après les tentatives d’authentification infructueuses”, selon Silva, dans son analyse. “Il repose uniquement sur la limitation de débit qui peut être contournée en utilisant plusieurs combinaisons de use_agent, device_id et signature.”

Cela signifie que le bourrage d’informations d’identification peut devenir un véritable problème. Digital Shadows a récemment souligné que le marché des logiciels et services de bourrage d’informations d’identification est en plein essor, en grande partie grâce à une épidémie de fuites de noms d’utilisateur et de mots de passe.

soundcloud

Checkmarx a également trouvé une faille liée à l’énumération des utilisateurs qui pourrait également être utilisée pour vérifier les identifiants de compte d’utilisateurs valides, ce qui rend encore plus facile le piratage des comptes. Un pirate informatique peut exploiter cela pour deviner les noms de compte, puis sonder s’ils existent ou non.

«Les points de terminaison /sign-in/identifier et /users/password_reset de api-v2.soundcloud.com peuvent être utilisés pour énumérer les comptes d’utilisateurs», a expliqué la firme. “Dans les deux cas, les points de terminaison fournissent des réponses différentes si l’identifiant de compte d’utilisateur demandé existe ou non.”

Le problème de limitation de débit quant à lui est lié au fait que SoundCloud ne limite pas le nombre de résultats de chansons pouvant être récupérés dans certains moteurs de recherche.

Par exemple, le point de terminaison de l’API /me/play-history/tracks, qui permet aux utilisateurs d’afficher les chansons récemment jouées, n’impose pas de limitation de débit. Ainsi, un hacker peut envoyer un grand nombre de requêtes POST à ​​partir d’une seule machine/adresse IP, ou peut utiliser une requête GET pour renvoyer des centaines de chansons à la fois. Cela peut non seulement potentiellement submerger l’API si plusieurs d’entre elles sont envoyées en même temps, mais cela pourrait également être utilisé pour gonfler artificiellement les statistiques de demande pour certains morceaux ou artistes.

«L’absence de limitation de débit peut compromettre la disponibilité du système, le rendant vulnérable aux attaques DoS», selon Checkmarx. «D’un point de vue commercial, ne pas limiter le nombre de demandes sur ce point de terminaison peut compromettre l’intégrité des données, car cela peut créer des statistiques incorrectes.»

soundcloud

Un problème lié au point de terminaison /tracks de api-v2.soundcloud.com, qui, selon Silva, n’implémente pas une limitation des ressources appropriée et conduit également potentiellement à un déni de service.

“Puis qu’aucune validation n’est effectuée concernant le nombre d’identifiants de chansons dans la liste des identifiants, il est possible de manipuler la liste pour récupérer un nombre arbitraire de morceaux dans une seule demande”, a-t-il déclaré, ajoutant que lors des tests, les chercheurs ont pu récupérer jusqu’à 689 chansons en une seule demande.

«L’utilisation d’une liste spécialement conçue d’ID de chanson pour maximiser la taille de la réponse et l’émission simultanée de demandes provenant de plusieurs sources pour épuiser les ressources dans la couche d’application rendra les services système de la cible indisponibles», a expliqué Silva.

Selon la recherche, le problème de validation des entrées incorrectes permettrait au pirate informatique d’utiliser des chaînes de caractères extra-longues lors du remplissage des formulaires de description, de titre et de genre lors de la soumission de musique. Un exploit pourrait s’en servir pour effectuer des attaques cross-site scripting (XSS) ou une injection SQL.

«Le point de terminaison /tracks/{track_urn} de api-v2.soundcloud.com ne valide pas et n’applique pas correctement la longueur de [ces] propriétés», a expliqué Silva. «L’émission de requêtes envoyées directement au serveur API donne au pirate informatique le contrôle de 61960 octets supplémentaires (sur un total de 66160 octets).»

SoundCloud a réagit rapidement

Pour sa part, SoundCloud a rapidement résolu le problème et publié un communiqué: «Chez SoundCloud, la sécurité des comptes de nos utilisateurs est extrêmement importante. Nous cherchons toujours des moyens d’améliorer la sécurité de notre plateforme pour nos utilisateurs. Nous apprécions que Checkmarx nous ait contacté pour discuter de leurs trouvailles. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de