API-Sicherheitslücke bei Krypto-Plattformen aufgedeckt

Salt Security hat eine neue API-Sicherheitslücke aufgedeckt, die bereits bei einer großen Online-Plattform für Kryptowährungen gefunden wurde. Die mit externen Authentifizierungs-Logins verbundene Schwachstelle könnte groß angelegte Angriffe auf das Konto eines beliebigen Kunden ermöglichen.

Entdeckt wurde die Sicherheitslücke in der Funktion “Benutzeranmeldung” der Plattform, insbesondere dann, wenn die Google-Authentifizierungsfunktion verwendet wird. Wie viele externe Authentifizierungsmethoden, verwende Google den Standard OpenID Connect (OIDC), der eine Erweiterung eines anderen gängigen Autorisierungsstandards, OAuth 2.0, sei. Die Plattform habe OIDC aber nicht korrekt implementiert, so dass die Anforderung der Benutzerauthentifizierungs-ID an den Anwendungsserver und nicht ausschließlich an den OIDC-Dienst gesendet wurde.

Die identifizierte Schwachstelle könnte es so böswilligen Akteuren ermöglichen,

• Kontoguthaben auf das Kryptowährungs-Wallet oder das private Bankkonto eines Benutzers zu übertragen
• einen großen Teil des Kontos eines Benutzers im System zu übernehmen
• Vollständigen Zugriff auf das Konto eines Benutzers zu erhalten und Gelder an einen Ort ihrer Wahl zu überweisen sowie andere finanzielle Aktionen im Namen dieses Benutzers durchzuführen

Laut dem Salt Security State of API Security Report, Q1 2022 hatten 95 Prozent der Unternehmen in den letzten 12 Monaten einen API-Sicherheitsvorfall. Die API-Ökosysteme von Kryptowährungsplattformen seien riesig. Sie würden Kunden Zugang zu ihren Krypto-Wallets bieten und es ihnen ermöglichen, problemlos Kryptowährungen zu kaufen, zu tauschen, zu leihen und weitere Kryptowährungen zu verdienen. Die von Salt Labs untersuchte Plattform war anfällig für zwei häufige API-Probleme:

• Falsche Sicherheitskonfiguration (API-7)
• Fehlende Ressourcen- und Ratenbegrenzung (API-4)

Laut Salt Security hätten die Forscher nach dem Entdecken der Schwachstelle diese sogleich behoben.

Trading-Plattformen sind auf APIs angewiesen, um ihre Online-Dienste mit Daten zu verbinden. Die Untersuchung zeigt die Gefahren auf, die eine API-Fehlkonfiguration verursachen kann. Zudem zeigt sie, wie wichtig eine noch stärkere Transparenz in diesen riesigen API-Ökosystemen ist, um kritische Dienste und die wertvollen Daten der Kunden zu schützen. Selbst eine kleine Sicherheitslücke hat das Potenzial, ein Unternehmen zu ruinieren.“

Yaniv Balmas, VP of Reasearch bei Salt Security

Salt Security API Protection Platform

Die Salt Security API Protection Platform adressiere die Arten von Schwachstellen, die bei dieser Kryptowährungs-Plattform und anderen potenziellen Angriffen in der OWASP API Top 10 Liste identifiziert wurden. Als API-Sicherheitslösung, die Big Data im Cloud-Maßstab, künstliche Intelligenz (KI) und maschinelles Lernen (ML) nutzt, erfasse die Lösung die Aktivitäten von Millionen von Nutzern und API-Aufrufen über Hunderte von Attributen in nahezu Echtzeit. Dadurch könne sie die Erkundungsaktivitäten böswilliger Akteure erkennen und blockieren, bevor sie ihr Ziel erreichen. Dank API Context Engine (ACE)-Architektur schütze die Protection Platform APIs während der Erstellung, der Bereitstellung und der Laufzeit. Darüber hinaus würden alle APIs und die sensiblen Daten, die sie preisgeben, erkannt, API-Angreifer identifiziert und gestoppt.ft