Noticias de IBL | Nueva York
Tres investigadores descubrieron múltiples fallas de seguridad en la plataforma Coursera, utilizada por 82 millones de estudiantes y cientos de compañías Fortune 500.
Esas vulnerabilidades en la API (Interfaz de programación de aplicaciones) fueron solucionadas por el equipo técnico de Coursera, una vez que se informó a la empresa el año pasado.
Ayer, jueves 8 de julio, el equipo de investigación de seguridad de Checkmarx publicó un informe sobre su hallazgo .
“A través de nuestra investigación, descubrimos varios problemas de API, como la enumeración de usuarios / cuentas a través de la función de restablecimiento de contraseña, la falta de recursos que limitan las API de GraphQL y REST, y una configuración incorrecta de GraphQL”, escribió Erez. Yalon, jefe del grupo de investigación de seguridad de Checkmarx.
“Pero específicamente, el problema de la Autorización de nivel de objeto roto (BOLA) que encontramos encaja perfectamente con las preocupaciones de control de acceso de Coursera”, agregó.
OWASP considera que el problema principal de la falla de seguridad de la Autorización de nivel de objeto roto (BOLA) es una amenaza importante debido a la facilidad de explotación.
Las fallas de BOLA en las API pueden exponer puntos finales que manejan identificadores de objetos, lo que podría abrir la puerta a ataques más amplios.
“Esta vulnerabilidad podría haberse abusado para comprender las preferencias de cursos de los usuarios generales a gran escala, pero también para sesgar de alguna manera las elecciones de los usuarios, ya que la manipulación de su actividad reciente afectó el contenido presentado en la página de inicio de Coursera para un usuario específico”, declaró Erez Yalon.
Mientras tanto, Coursera le dijo a ZDNet que “la privacidad y seguridad de los alumnos en Coursera es una prioridad “. “Estamos agradecidos con Checkmarx por informar a nuestro equipo de seguridad de los problemas de bajo riesgo relacionados con la API el año pasado, quienes pudieron abordar y resolver los problemas de inmediato”.