Päivitys Parlerin fiaskoon - ei murtauduttu, ainoastaan päin seiniä luotu järjestelmä

Kuten aiemmin uutisoimme, on mm. äärioikeistonkin suosiman sosiaalisen median palvelun Parlerin tiedot onnistuttu vuotamaan. Vuodolle vaikuttaa olevan vahvistus, mutta vuototapa kuvattiin alun perin vääräksi.

Käytännössä tietoihin onnistuttiin pääsemään siksi, että Parlerin oma ohjelmointirajapinta eli API oli ohjelmoitu käytännössä päin seiniä. APIn avulla tyypillisesti myös yrityksen omat mobiilisovellukset hakevat tietoa, jota näyttää.

Tässä tapauksessa vaikuttaa siltä, että API:ssa oli unohdettu tarkistaa se, onko kutsua tekevällä oikeasti oikeus päästä kyseiseen viestiin, videoon tai kuvaan käsiksi. Yksinkertaistettuna, API-kutsu oli muotoa:

https://jokuosoite.asdf/haeViesti?viestin_numero=123

Tämä on hyvinkin tavallinen tapa toteuttaa API-kutsut. Mutta yleensä API-kutsujen lopussa ei käytetä juoksevaa numerointia vaan ns. koodattua hash-arvoa. Tätä juoksevan numeroinnin kikkaa käyttämällä ovat jotkut luoneet skriptin, joka yksinkertaisesti kävi läpi kaikki numerot kunnes saavuttiin uusimpaan viestiin saakka. Näin saatiin "imaistua" paketti, joka sisältää kaiken Parleriin julkaistun materiaalin - tekstit, kuvat ja videot. Ongelma olisi ratkaistu helposti, jos API olisi vaatinut kirjautumisen, numeroinnissa olisi käytetty guid-arvoja tai jos APIn kutsuille olisi asetettu jokin käyttäjäkohtainen rajoitus.

Lisäksi toinen vastaava kutsu antaa käyttäjän omat tiedot, kuten oikean nimen, jne. Mutta tässäkään tapauksessa ei oltu huolehdittu turvallisuudesta, vaan samaa kutsua käyttäen sai APIn kautta haettua kenen tahansa palvelussa olevan käyttäjän tiedot näkyviin.

• Parler
• API
• tietovuoto