AfterDawn: IT-alan uutiset
Osallistu Elisan arvontaan ja voita Xiaomi Mi Robot Vauum-Mop Pro -robotti-imuri!

Päivitys Parlerin fiaskoon - ei murtauduttu, ainoastaan päin seiniä luotu järjestelmä

Kirjoittaja Petteri Pyyny @ 11.1.2021 20:22

Päivitys Parlerin fiaskoon - ei murtauduttu, ainoastaan päin seiniä luotu järjestelmä Kuten aiemmin uutisoimme, on mm. äärioikeistonkin suosiman sosiaalisen median palvelun Parlerin tiedot onnistuttu vuotamaan. Vuodolle vaikuttaa olevan vahvistus, mutta vuototapa kuvattiin alun perin vääräksi.
Käytännössä tietoihin onnistuttiin pääsemään siksi, että Parlerin oma ohjelmointirajapinta eli API oli ohjelmoitu käytännössä päin seiniä. APIn avulla tyypillisesti myös yrityksen omat mobiilisovellukset hakevat tietoa, jota näyttää.

Tässä tapauksessa vaikuttaa siltä, että API:ssa oli unohdettu tarkistaa se, onko kutsua tekevällä oikeasti oikeus päästä kyseiseen viestiin, videoon tai kuvaan käsiksi. Yksinkertaistettuna, API-kutsu oli muotoa:

https://jokuosoite.asdf/haeViesti?viestin_numero=123


Tämä on hyvinkin tavallinen tapa toteuttaa API-kutsut. Mutta yleensä API-kutsujen lopussa ei käytetä juoksevaa numerointia vaan ns. koodattua hash-arvoa. Tätä juoksevan numeroinnin kikkaa käyttämällä ovat jotkut luoneet skriptin, joka yksinkertaisesti kävi läpi kaikki numerot kunnes saavuttiin uusimpaan viestiin saakka. Näin saatiin "imaistua" paketti, joka sisältää kaiken Parleriin julkaistun materiaalin - tekstit, kuvat ja videot. Ongelma olisi ratkaistu helposti, jos API olisi vaatinut kirjautumisen, numeroinnissa olisi käytetty guid-arvoja tai jos APIn kutsuille olisi asetettu jokin käyttäjäkohtainen rajoitus.




Lisäksi toinen vastaava kutsu antaa käyttäjän omat tiedot, kuten oikean nimen, jne. Mutta tässäkään tapauksessa ei oltu huolehdittu turvallisuudesta, vaan samaa kutsua käyttäen sai APIn kautta haettua kenen tahansa palvelussa olevan käyttäjän tiedot näkyviin.

AfterDawnin diilit uutiskirjeenä!

Etsimme jatkuvasti hyviä tietotekniikan ja kännyköiden diilejä ympäri nettiä ja uutisoimme niistä sivuillamme. Jos haluat saada tiedon uusista diileistä heti sähköpostiisi, tilaa diilien uutiskirjeemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Edellinen Seuraava  
Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto