Sosyal medya platformu Spoutible’ın kamuya açık bir API’si, tehdit aktörlerinin kullanıcı hesaplarını ele geçirmek için kullanılabilecek bilgileri çalmasına izin vermiş olabilir.
Spoutible API’sindeki sorun
Güvenlik danışmanı Troy Hunt’a, API aracılığıyla 207.000 Spoutible kullanıcı kaydı içeren bir dosyayı ve Hunt’ın kendi hesabıyla aynı şeyi yapmasına izin verecek bir URL’yi paylaşan bir kişi tarafından API hakkında bilgi verildi.
API sorgusuna gönderilen bilgilerin miktarı ve türü onu şok etti: API yalnızca kullanıcı adını, adını ve soyadını, kullanıcı kimliğini ve biyografisinin içeriğini – “oldukça standart şeyler” – açığa çıkarmakla kalmadı, aynı zamanda e-postayı, IP adresini, hesapla ilişkili doğrulanmış telefon numarası da.
Ayrıca, en endişe verici şekilde! – ortaya çıktı:
- Şifresinin bcrypt karması
- Hesaba erişim için tek kullanımlık bir şifre (ikinci bir kimlik doğrulama faktörü olarak) oluşturmaya yönelik tohum
- 2FA yedek kodunun bcrypt karması
- Hesabının şifre sıfırlama jetonu
“Herhangi bir kullanıcının karma şifresini herhangi bir arayüze döndürmek için herhangi bir neden düşünemiyorum; buna, şifreyi yalnızca kullanıcının kendisinin alabileceği, uygun şekilde yetkilendirilmiş bir şifre de dahil. Hunt, bunu yapmak için hiçbir zaman iyi bir neden olmadığını belirtti.
“Ve bugünlerde şifreleri saklamak için bcrypt kabul edilen algoritma olsa da, kırılamaz olmaktan çok uzak” diye ekledi. Zayıf, öngörülebilir parolalardan oluşan küçük bir sözlükle donanmış bir saldırgan, bazı karmaları kolayca kırabilir.
Bir hizmet kullanıcıların zayıf parolalar belirlemesine izin verdiğinde risk daha da artıyor ve Spoutible da bunu yapıyor.
Elinde bir şifre ve ikinci kimlik doğrulama faktörünü (tek seferlik şifre) veya hashlenmemiş 2FA yedek kodunu oluşturacak tohumla, bir saldırgan kullanıcının hesabına kolayca erişebilir.
Son olarak, açığa çıkan şifre sıfırlama jetonuyla, bir saldırgan, şifre sıfırlama işlemi gerçekleştirerek HERHANGİ bir kullanıcı hesabını anında ele geçirebilir.
“Şifreyi değiştirdikten sonra, hesap sahibine herhangi bir bildirim e-postası gönderilmedi, bu yüzden işleri daha da kötüleştirmek için, birinin hesabı bu teknik kullanılarak ele geçirilirse, orijinal şifresinin artık işe yaramadığını fark edene veya orijinal şifresinin artık işe yaramadığını fark edene kadar kesinlikle hiçbir fikri olmayacaktı. Hunt, hesapları tuhaf mesajlar göndermeye başladı, diye açıkladı.
Yaralanmanın üstüne bir de hakaret eklemek gerekirse, kullanıcıların aktif oturumları geçersiz kılma ve hatta görme imkanı yoktur; bu, bir saldırganın içeri girdikten sonra meşru kullanıcı şifreyi değiştirse bile hesaba uzun süreli erişime sahip olabileceği anlamına gelir.
(Tümü) Spoutible kullanıcıları ne yapmalıdır?
Hunt, Spoutible’ın kurucusu Christopher Bouzy’ye bulguları bildirdikten sonra geliştirme ekibi, API’yi yalnızca hassas olmayan belirli kullanıcı verilerini döndürecek şekilde hızla değiştirdi.
Şirket olayı kamuoyuna açıkladı ancak yalnızca “şifresi çözülmüş şifrelerin ve doğrudan mesajların açıklanmadığını” ve “alınan bilgilerin e-posta adreslerini ve bazı cep telefonu numaralarını içerdiğini” söyledi.
Hunt, 207.114 kazınmış e-postayı Pwned Oldum mu? listesine ekledi. Spoutible kullanıcılarının verilerinin ele geçirilip geçirilmediğini kontrol edebildiği hizmet.
Hesap şifrelerini değiştirmeleri, 2FA’larını sıfırlamaları ve olağan dışı hesap olup olmadığını kontrol etmeleri önerilir. Hunt, “Mastodon veya Bluesky’ye çapraz gönderimi etkinleştirdiyseniz, bu platformlardaki anahtarları çok dikkatli bir şekilde geçersiz kılmalısınız” diye ekledi.