Bir milyondan fazla üyeye sahip olan BrickLink, alışveriş yapanların Noel’den önce ikinci el Lego setleri için uğraştığı yoğun bir sezonu yaşıyor. Site, ikinci el Lego setlerinin alım satımı için dünyanın en büyük platformudur ve e-ticaret devi eBay’e benzer bir şekilde çalışır.
Bu güvenlik açıklarından yararlanılsaydı, hem müşterilerin hesaplarına yönelik büyük ölçekli hesap devralma (ATO) saldırılarına hem de sunucuların ele geçirilmesine izin verebilirdi. Bu, bilgisayar korsanlarının şunları yapmasını sağlardı:
- Hesapları üzerinde tam kontrol elde etmek için platform kullanıcılarını manipüle edin.
- Platform tarafından dahili olarak saklanan kişisel tanımlanabilir bilgileri (PII) ve diğer hassas kullanıcı verilerini sızdırın.
- Şirketin dahili sunucularının tamamen ele geçirilmesine yol açabilecek dahili üretim verilerine erişim elde edin.
Her iki güvenlik açığı, sitenin kullanıcı giriş alanlarını destekleyen alanları incelenerek bulundu. İlki, araştırmacıların kupon arama işlevinin “Kullanıcı Adını Bul” iletişim kutusunda bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı bulmasıyla keşfedildi; XXS güvenlik açığı daha sonra farklı bir sayfada bir Oturum Kimliği ile zincirlendi. Bunu yaparak, araştırmacılar oturumu ele geçirerek ATO’yu başardılar. Bu, kötü kişiler tarafından ortaya çıkarılmış olsaydı, toplam ATO veya hassas verilerin çalınmasıyla sonuçlanabilirdi.
İkinci güvenlik açığı, sitenin “Aranan Listeye Yükle” sayfasında tespit edildi – kullanıcıların istenen Lego parçalarını ve setlerini XML formatında yüklemelerine olanak tanıyan bir uç nokta. Araştırmacılar, bir XML Harici Varlık (XXE) enjeksiyon saldırısı gerçekleştirerek web sunucusundaki dosyaları okuyabildiler ve herhangi bir şekilde kötüye kullanım olabilecek bir sunucu tarafı istek sahteciliği (SSRF) saldırısı gerçekleştirebildiler – örneğin AWS EC2 belirteçleri .
Neyse ki güvenlik açıkları, siber suçlular bunları kullanamadan keşfedildi.
Salt Security Araştırmadan Sorumlu Başkan Yardımcısı Yaniv Balmas, “Bugün, neredeyse tüm iş sektörleri, yeni işlevsellik sağlamak ve tüketiciler ile hayati veriler ve hizmetler arasındaki bağlantıyı kolaylaştırmak için API kullanımlarını artırdı” dedi. Sonuç olarak, API’ler şirket sistemlerine ve kullanıcı verilerine erişim elde etmek için en büyük ve en önemli saldırı vektörlerinden biri haline geldi. Kuruluşlar hızla ölçeklenirken, birçoğu platformlarında var olan API güvenlik risklerinin ve açıklarının büyük hacminden habersiz kalıyor ve bu da şirketleri ve değerli verilerini kötü aktörlere maruz bırakıyor.”