vendredi, 29 mars 2024

Rapport : 95 % des organisations ont connu un incident de sécurité d’API au cours de l’année écoulée

La société de sécurité API Salt Security a en fait publié une nouvelle étude de recherche sur les menaces API de Salt Labs qui met en évidence une vulnérabilité de sécurité API trouvée sur une grande plate-forme de portefeuille de crypto-monnaie en ligne. Desservant deux millions d’utilisateurs dans le monde et gérant plus de 150 000 Bitcoins, évalués à plus de 3 milliards de dollars selon le taux de change BTC existant, la plateforme offre une large gamme de services permettant aux clients d’acheter et d’échanger des crypto-monnaies en ligne. Le défaut de sécurité de l’API trouvé par Salt Labs, lié à des connexions d’authentification externes, pourrait permettre des attaques massives de prise de contrôle de compte (ATO) sur le compte de n’importe quel client.

Les scientifiques de Salt Labs ont découvert la vulnérabilité dans la fonctionnalité « Connexion utilisateur » de la plateforme notamment lors de l’utilisation de la fonction d’authentification de Google. Comme de nombreuses approches d’authentification externe, utilise un lien OpenID de base (OIDC), qui est une extension d’une autre norme d’autorisation commune, OAuth 2.0. La plate-forme de crypto-monnaie n’a pas réussi à implémenter correctement OIDC, permettant à la demande d’ID d’authentification de l’utilisateur d’être envoyée au serveur d’application et non au service OIDC exclusivement.

Salt Labs a étudié une série d’attaques, et en les connectant, les chercheurs pourraient prendre le contrôle de n’importe quel compte du système qui utilise l’authentification comme type de connexion, qui utilise un grand nombre d’utilisateurs dans le système. Une fois qu’ils ont effectivement visité les comptes d’un utilisateur, les scientifiques pourraient éventuellement utiliser n’importe quelle performance offerte à l’utilisateur, comprenant le transfert de fonds, l’affichage de l’historique des transactions, la consultation des données personnelles de l’utilisateur (qui peuvent consister en un nom, une adresse, un numéro de compte bancaire) et d’autres données précieuses. Salt Security estime que la vulnérabilité aurait pu permettre le vol de centaines de millions de dollars dans des portefeuilles de crypto-monnaie.

Selon le rapport, 95 % des entreprises ont connu un incident de sécurité API au cours des 12 derniers mois. Les environnements API des plates-formes de crypto-monnaie sont énormes, offrant aux clients un accès à leurs portefeuilles crypto et leur permettant d’acheter, d’échanger, d’emprunter et de gagner rapidement des crypto-monnaies supplémentaires. La plate-forme de crypto-monnaie évaluée par Salt Labs était vulnérable à deux problèmes d’API typiques : mauvaise configuration de la sécurité (API-7) et absence de restriction des ressources et du débit (API-4).

Cette dernière étude menée par Salt Labs sur cette plate-forme de chiffrement montre que la sécurité des API est un élément important de tout service moderne, et qu’il doit être soigneusement réfléchi et traité dans le cadre de la conception du service. Une mauvaise exécution et une mauvaise configuration des performances liées à l’API peuvent avoir des répercussions extrêmes et parfois même complètement interrompre les services de sécurité considérés comme une exigence du marché ou des « preuves ».

Salt Security a suivi sa procédure de divulgation collaborative et informé le service de ces préoccupations. Ils ont également aidé à trouver une solution technique appropriée, et toutes les préoccupations ont en fait été résolues au moment de la publication de cette étude de recherche.

Lire le rapport complet de Salt Security.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de mieux comprendre innovation d’entreprise transformatrice et négociation. En savoir plus sur l’adhésion.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici