Dünya çapında 2 milyondan fazla kullanıcıya hizmet veren ve yaklaşık 3 milyar dolarlık Bitcoin yöneten bir kripto para cüzdanı servis sağlayıcısının, harici kimlik doğrulama girişlerinin nasıl uygulandığına bağlı API güvenlik açıkları içerdiği tespit edildi.
Hatalar giderildi, ancak araştırmacılar, keşiflerin API’lerin güvenli bir şekilde uygulanmasıyla ilgili yüksek riskleri ve bunu yapmanın zorluklarını gösterdiğini söylüyor.
Salt Security’nin araştırma bölümü Salt Labs’in bir raporuna göre, bir dizi güvenlik açığı (CVE atanmamış), aktörlerin sistemdeki bir kullanıcının hesabının büyük bir bölümünü ele geçirmesine izin verebilirdi.
Bu güvenlik açığı, kötü niyetli bir aktöre tam erişim ve bu kullanıcı adına, fonların kendi seçtikleri herhangi bir yere aktarılması da dahil olmak üzere birden fazla finansal işlem gerçekleştirme yeteneği verecekti.
“Bir kullanıcının hesaplarına başarılı bir şekilde giriş yaptıktan sonra, fon transferi, işlem geçmişini görüntüleme, kullanıcının ad, adres, banka hesap numarası ve diğer değerli bilgileri içerebilecek kişisel verilerini görme dahil olmak üzere kullanıcının kullanabileceği tüm işlevleri potansiyel olarak kullanabiliriz. Veriler, “Tuz araştırmacıları raporda not ediyor.
İlk hata, mobil uygulamalarda bulunan ve kullanıcıların Apple ID, Google, Facebook veya Twitter gibi harici bir hizmet kullanarak oturum açmasına olanak tanıyan ortak özelliği içeriyordu. Bu durumda, araştırmacılar “Google ile oturum aç” seçeneğini incelediler ve kimlik doğrulama belirteci mekanizmasının, sahte bir Google kimliğini meşru kullanıcının kimliği olarak kabul etmek için manipüle edilebileceğini buldular.
İkinci hata, araştırmacıların iki faktörlü kimlik doğrulamasını aşmasına izin verdi. Bir PIN-sıfırlama mekanizmasının hız sınırlaması olmadığı ve bir kullanıcının cep telefonu numarasına veya e-postasına gönderilen kodu ortaya çıkarmak için otomatik bir saldırı başlatmalarına izin verdiği bulundu.
Araştırmacılara göre, “Bu uç nokta, herhangi bir hız sınırlaması, kullanıcı engelleme veya geçici hesap devre dışı bırakma işlevi içermiyor. Temel olarak, artık 999.999 PIN seçeneğinin tamamını çalıştırabilir ve 1 dakikadan daha kısa bir sürede doğru PIN’i alabiliriz”.
Rapora göre, her güvenlik sorunu kendi başına saldırgana sınırlı yetenekler sağladı. Perşembe günü yayınlandı: “Ancak, bir saldırgan, hesap bakiyesinin tamamını cüzdanına veya özel banka hesabına aktarmak gibi son derece etkili bir saldırıyı yaymak için bu sorunları birlikte zincirleyebilir.”
Salt araştırma başkan yardımcısı Yaniv Balmas, bu güvenlik açıklarını etkili ve tehlikeli yapan iki faktör olduğunu açıklıyor.
“Birincisi, çok kolay istismar edilebilir ve ikincisi, başarılı bir istismar, kişisel ve ticari hesaplardan milyonlarca doların – veya daha fazlasının – çalınmasına neden olabilir” diyor.
Kötü API Uygulamaları: Önemli Bir Nesne Dersi
Belirtildiği gibi, cüzdan sağlayıcı söz konusu API uygulamalarını hızla düzeltti, ancak analizden önemli çıkarımlar var, diye açıklıyor Balmas. Sonuçta, tüm kripto para piyasası nispeten genç olduğundan, bu alandaki hizmetlerin çoğu, temel teknolojilerinin bir parçası olarak API’lere büyük ölçüde bağımlıdır.
“İşlevleriyle otomatik etkileşimleri kolaylaştırmak için bir tür API yayınlamayan herhangi bir kripto para birimi hizmetini henüz görmedim” diyor. “API’lere olan bu bağımlılık, başka bir sorunu da ortaya çıkarıyor.”
API’nin temel iş işlevleri için dinamik ve hızla gelişen arayüzler olarak tasarlandığını ve bunun kullanıcı açısından çok olumlu olduğunu açıklıyor.
“Ancak, aynı davranış birçok güvenlik sorununa ve fark edilmeyebilecek güvenlik açıklarına kapı açıyor” diyor. “Bu nedenle, araştırma çabalarımızda, bazen ciddi ticari etkileri olan, nispeten zayıf bir API güvenliği durumu görüyoruz.”
API Güvenliği, Kullanım Arttıkça Büyük Bir Endişe Oluyor
Çevik geliştirmenin popülaritesi arttıkça, kuruluşlar API’lere yöneliyor ve bu da daha geniş saldırı yüzeylerinin tehdit aktörleri tarafından istismara karşı daha savunmasız kalmasına neden oluyor. Uygulama güvenliği firması Imperva ve risk stratejisi firması Marsh McLennan’ın API’leri içeren ihlallere ilişkin yakın tarihli bir analizi, ABD şirketlerinin 2022’de toplam 12 milyar ila 23 milyar dolar arasında bir kayıpla karşı karşıya olduğunu ortaya koydu.
Bu arada, Salt Labs tarafından Mart ayında yayınlanan bir raporda, API saldırı trafiğinin kötü amaçlı olmayan trafiğin iki katından fazla artmasıyla API saldırılarının geçen yıl %681 oranında arttığını tespit etti. Yine, bunun çoğu uygulama ve yapılandırma hatasından kaynaklanıyor olabilir: Örneğin, Shadowserver Foundation araştırmacıları, 380.000 Kubernetes API sunucusunun genel İnternet’e açık olduğunu ve çevrimiçi olarak gözlemlenebilir tüm küresel Kubernetes API örneklerinin %84’ünü temsil ettiğini keşfetti.
API Saldırı Yüzeyi İzlenmeli, İzlenmeli
Balmas, API’lerle ilgili başka bir soruna dikkat çekiyor ve bunların doğası, bir API ekosistemi büyüdüğünde, onu tam olarak ele almanın çok zor hale gelmesidir. Her biri kendi benzersiz API setlerini yayınlayan birden fazla uygulama ve dahili hizmetle, bakım yapanların herhangi bir zamanda hangi API’lerin yayınlandığını bilmeleri bile çok zordur.
“İşte bu nedenle API görünürlüğü ve konsolidasyon önlemleri bazen bir şirketin API’lerini güvence altına almanın ilk ve önemli adımıdır” diyor.
Balmas, kripto para platformlarının ve diğer ağır API kullanıcılarının, maruz kaldıkları API saldırı yüzeyine daha fazla dikkat etmeye başlamalarını tavsiye ediyor.
“Bu yeni saldırı yüzeyi dikkatle izlenmeli ve izlenmelidir” diye ekliyor. “Arkasındaki hizmetler, yeni güvenlik sorunlarının ortaya çıkmadığından emin olmak için periyodik olarak daha dikkatli bir şekilde gözden geçirilmeli ve güvenlik açıklarını bulmak ve bunlardan yararlanmak için meydana gelebilecek anormallikleri tespit etmek için devam eden trafik üzerinde davranışsal izleme uygulanmalıdır. “