Odwołujesz się anonimowo do API. Podajesz login użytkownika i dostajesz jego… hasha hasła :D A to nie koniec tej szalonej historii buga w realnej aplikacji.

Troy Hunt opublikował na swoim blogu ciekawy artykuł opisujący incydent, który przydarzył się Spoutible – portalowi społecznościowemu, który został założony przez osoby związane wcześniej z Twitterem na kanwie sagi przejęcia portalu przez E. Muska. 

Wycieki danych z API to nic nowego, często zdarza się, że źle zaprojektowana i wdrożona autoryzacja pozwala na dostęp do danych, do których użytkownik nie powinien mieć nigdy dostępu. To co jednak wyróżnia tę sytuację to bardzo rozbudowane odpowiedzi na zapytania, które nie wymagają uwierzytelnienia – np.:

password: "$2y$10$B0EhY/bQsa5zUYXQ6J.NkunGvUfYeVOH8JM1nZwHyLPBagbVzpEM2",

Wierzymy Troyowi, że gdy zobaczył taką informację zwracaną przez portal, gdy odpytał go o swojego użytkownika, to nie mógł w to uwierzyć.

Mimo, że portal korzysta z algorytmu bcrypt do przechowywania hasła (uznawanego za bezpieczny) to jednak nie jest to rozwiązanie problemu. Bcrypt może znacznie wydłużyć czas łamania hasła nawet przy wykorzystaniu najnowszych układów GPU, ale to nie znaczy, że słabe hasła użytkowników nie mogą zostać w ten sposób odzyskane. 

Słabości haseł to jedno, ale dobre praktyki mówią, że użytkownicy powinny korzystać z uwierzytelniania wieloskładnikowego. Na wypadek gdyby jednak ich poświadczenia zostały przejęte. Spoutible oczywiście umożliwia dodanie takiego składnika, więc problemu nie ma, prawda? Siedzicie? Jeśli nie, to usiądźcie. W przypadku odpytania API o konto, dla którego zdefiniowany był drugi czynnik, aplikacja zwracała jeszcze takie informacje:

2fa_secret: "7GIVXLSNKM47AM4R",

2fa_enabled_at: "2024-02-03 02:26:11",

2fa_backup_code: "$2y$10$6vQRDRDHVjyZdndGUEKLM.gmIIZVDq.E5NWTWti18.nZNQcqsEYki"

Tak, 2fa_secret to seed, wykorzystywany przy generowaniu kodów jednorazowych. Znając tę wartość, atakujący jest w stanie odtworzyć i ten składnik. Gdyby się jednak okazało, że telefon z aplikacją Authenticatora wpadł Wam do wody, a kartkę z kodami zapasowymi zgubiliście, to Spoutible ma na to sposób – hash z kodu zapasowego (2fa_backup_code), składającego się z sześciu cyfr… Pamiętacie co pisaliśmy dwa paragrafy wyżej o słabych hasłach? Przestrzeń przeszukiwania takiego pinu jest na tyle mała, że średniej klasy karta graficzna znajdzie brakujący kod w kilka minut. Jak na początek lutego to naprawdę silna kandydatura do największej wpadki security w tym roku (chociaż jak zwykle z niecierpliwością czekamy na grudzień). 

~fc