Неправильная конфигурация корпоративных стриминговых платформ может привести к раскрытию конфиденциальных данных

Ведущие стриминговые сервисы , такие какNetflix и Disney+, на протяжении многих лет вкладывают значительные средства в защиту своего контента. При любой возможности они ограничивают доступ пользователей к видео без подписки или просмотру контента с региональной блокировкой. Однако новые данные, представленные сегодня на конференции по безопасности Defcon в Лас-Вегасе, указывают на то, что стриминговые платформы, используемые для таких задач, как внутренние корпоративные трансляции и спортивные трансляции, могут содержать базовые конструктивные недостатки, позволяющие любому человеку получить доступ к огромному количеству контента без входа в систему.

Независимый исследователь Фарзан Карими много лет назад обнаружил, что ошибки в настройках интерфейсов прикладного программирования (API) делают потоковый контент уязвимым для несанкционированного доступа. В 2020 году он сообщил Vimeo о ряде подобных уязвимостей, которые могли позволить ему получить доступ к почти 2000 внутренних совещаний компании, а также к другим видам прямых трансляций. Компания быстро устранила проблему, но это открытие вызвало у Карими опасения, что аналогичные проблемы могут существовать и на других платформах.

Спустя годы он понял, что, усовершенствовав метод картирования того, как API извлекают данные и взаимодействуют, он сможет выявлять другие уязвимые платформы. На конференции Defcon Карими представляет результаты исследований текущих уязвимостей на одной из популярных спортивных платформ (он не называет название сайта, поскольку проблемы ещё не устранены) и выпускает инструмент, который поможет другим выявлять проблему на других сайтах.

«На общем собрании компании или другом важном совещании может обсуждаться важная внутренняя информация — генеральные директора или другие руководители обсуждают увольнения или конфиденциальную интеллектуальную собственность», — сказал Карими WIRED перед своим выступлением на конференции. «Можно наблюдать негативную тенденцию в том, насколько легко обойти аутентификацию для доступа к потокам данных, но ранее считалось, что для выявления подобных проблем требуется глубокое знание специфики конкретного бизнеса».

API — это сервисы, которые извлекают и возвращают данные тому, кто их запрашивает. Карими приводит пример: вы можете выполнить поиск по фильму «Бойцовский клуб» на стриминговой платформе, и поток фильма может содержать информацию о продолжительности фильма, трейлерах, актерах в фильме и других метаданных. Несколько API работают вместе, чтобы собрать всю эту информацию, при этом каждый извлекает определенные типы данных. Аналогично, если вы ищете Брэда Питта, набор API будет взаимодействовать, чтобы предоставить «Бойцовский клуб» вместе с другими фильмами с его участием, такими как «Троя» и «Семь» . Некоторые из этих API разработаны так, чтобы требовать подтверждение аутентификации, прежде чем они вернут результаты, но если система не была тщательно проверена, другие API часто слепо возвращают данные, не требуя подтверждения авторизации, предполагая, что только аутентифицированный запрашивающая сторона будет в состоянии отправлять запросы.

«Зачастую существует четыре, пять или какое-то количество API, содержащих все эти метаданные, и если вы знаете, как их отслеживать, вы можете бесплатно получить доступ к платному контенту», — говорит Карими. «Это модель «безопасности через неизвестность», при которой никто не подумает, что кто-то сможет вручную связать все эти API. Однако автоматизация, которую я внедряю, помогает быстро находить эти уязвимости авторизации в больших масштабах».

Карими подчёркивает, что ведущие стриминговые сервисы в основном заблокированы и либо давно исправили подобные ошибки в настройках API, либо изначально избегали их. Однако он подчёркивает, что более утилитарные платформы для корпоративных трансляций и других мероприятий в прямом эфире, включая постоянно включённые камеры на спортивных аренах и других площадках, которые должны быть доступны только в определённое время, вероятно, уязвимы и раскрывают видео, которое считается защищённым.