Salt Labs a identifié une faille d’authentification qui aurait pu permettre une prise de contrôle de compte à grande échelle (ATO)
PALO ALTO, Californie., 7 juillet 2022 /PRNewswire/ — Sécurité du selle leader de la sécurité des API, a publié aujourd’hui de nouvelles recherches sur les menaces d’API de Laboratoires de sel qui met en évidence une vulnérabilité de sécurité API découverte sur une grande plate-forme de portefeuille de crypto-monnaie en ligne. Au service de deux millions d’utilisateurs dans le monde, la plate-forme fournit une large gamme de services permettant aux clients d’acheter et d’échanger des crypto-monnaies en ligne. La faille de sécurité de l’API découverte par Salt Labs, liée aux connexions d’authentification externes, pourrait permettre des attaques de prise de contrôle de compte (ATO) à grande échelle sur le compte de n’importe quel client. La vulnérabilité aurait pu permettre le vol de centaines de millions de dollars dans des portefeuilles de crypto-monnaie.
Les chercheurs de Salt Labs ont découvert la vulnérabilité de la fonctionnalité « Connexion utilisateur » de la plate-forme, en particulier lors de l’utilisation de la fonction d’authentification de Google. Comme de nombreuses méthodes d’authentification externes, Google utilise une norme OpenID Connect (OIDC), qui est une extension d’une autre norme d’autorisation commune, OAuth 2.0. La plate-forme de crypto-monnaie n’a pas réussi à implémenter correctement OIDC, permettant à la demande d’ID d’authentification de l’utilisateur d’être envoyée au serveur d’application et non au service OIDC exclusivement.
La vulnérabilité identifiée aurait pu permettre aux acteurs malveillants de :
- Transférer les soldes des comptes vers le portefeuille de crypto-monnaie ou le compte bancaire privé d’un utilisateur
- Prendre en charge une grande partie du compte d’un utilisateur dans le système
- Obtenez un accès complet au compte d’un utilisateur et transférez des fonds vers n’importe quel endroit de son choix, ainsi qu’effectuez toute autre action financière au nom de cet utilisateur
« Les plates-formes de crypto-monnaie s’appuient sur des API pour la connectivité des données qui alimentent leurs services en ligne », a déclaré Yaniv Balmas, vice-président de la recherche, Salt Security. « La recherche de Salt Labs démontre les dangers qu’une mauvaise configuration de l’API peut entraîner et souligne la nécessité d’une meilleure visibilité sur ces vastes écosystèmes d’API afin de protéger les services critiques et les données précieuses des clients. Même une faille de sécurité mineure peut potentiellement dévaster une entreprise . »
Les plates-formes de crypto-monnaie représentent une cible énorme pour les attaquants, comme en témoigne à nouveau le vol de la semaine dernière 100 millions de dollars en crypto-monnaie d’Horizon, un pont blockchain développé par la start-up crypto Harmony.
Selon le Rapport Salt Security sur l’état de la sécurité des API, 1er trimestre 2022, 95 % des organisations ont connu un incident de sécurité d’API au cours des 12 derniers mois. Les écosystèmes API des plates-formes de crypto-monnaie sont vastes, offrant aux clients un accès à leurs portefeuilles crypto et leur permettant d’acheter, d’échanger, d’emprunter et de gagner facilement des crypto-monnaies supplémentaires. La plate-forme de crypto-monnaie évaluée par Salt Labs était sensible à deux problèmes d’API courants :
- Mauvaise configuration de la sécurité (API-7)
- Manque de ressources et limitation du débit (API-4)
Après avoir découvert la vulnérabilité, les chercheurs de Salt Labs ont suivi des pratiques de divulgation coordonnées et tous les problèmes ont été résolus.
La Plate-forme de protection de l’API de sécurité Salt aborde les types de vulnérabilités identifiées dans cette plate-forme de crypto-monnaie et d’autres attaques potentielles dans le Top 10 des API OWASP liste. En tant que seule solution de sécurité API à utiliser le big data, l’intelligence artificielle (IA) et l’apprentissage automatique (ML) à l’échelle du cloud, la plate-forme Salt Security base l’activité de millions d’utilisateurs et les appels API sur des centaines d’attributs en temps quasi réel. En conséquence, il peut détecter l’activité de reconnaissance des mauvais acteurs et les bloquer avant qu’ils n’atteignent leur objectif. Grâce à son architecture unique API Context Engine (ACE), la plate-forme de protection des API Salt protège les API lors des phases de construction, de déploiement et d’exécution – elle découvre toutes les API et les données sensibles qu’elles exposent, identifie et arrête les attaquants d’API, et fournit des informations de correction apprises pendant runtime que les développeurs peuvent utiliser pour renforcer les API.
Le rapport complet, y compris la façon dont Salt Labs a mené cette recherche et les mesures d’atténuation, est disponible ici.
Pour en savoir plus sur Salt Security, sa plateforme, ou pour demander une démo, veuillez visiter https://content.salt.security/demo.html.
À propos de Salt Security
Salt Security protège les API qui forment le cœur de chaque application moderne. Sa plate-forme de protection d’API est la première solution brevetée du secteur pour empêcher la prochaine génération d’attaques d’API, en utilisant l’apprentissage automatique et l’IA pour identifier et protéger automatiquement et en continu les API. Seul Salt Security a la capacité de corréler les activités de millions d’API et d’utilisateurs au fil du temps et de fournir une analyse en temps réel de toutes ces données. Déployée en quelques minutes, la plateforme Salt Security apprend le comportement granulaire des API d’une entreprise et ne nécessite aucune configuration ou personnalisation pour identifier et bloquer les attaquants d’API. Pour plus d’informations, s’il vous plaît visitez: https://salt.security
contact presse
Dex Polizzi
Lumina Communications
[email protected]
SOURCE Sel Sécurité