Een verkeerde configuratie die streamingplatforms van bedrijven teistert, kan gevoelige gegevens blootleggen

Topstreamingdiensten zoalsNetflix en Disney+ hebben de afgelopen jaren gestaag geïnvesteerd in het blokkeren van hun content. Waar mogelijk blokkeren ze gebruikers zonder abonnement of regiogeblokkeerde content. Nieuwe bevindingen die vandaag werden gepresenteerd op de Defcon- beveiligingsconferentie in Las Vegas, wijzen er echter op dat streamingplatforms die worden gebruikt voor zaken als interne bedrijfsuitzendingen en sportlivestreams, fundamentele ontwerpfouten kunnen bevatten waardoor iedereen toegang heeft tot een enorme hoeveelheid content zonder in te loggen.

Onafhankelijk onderzoeker Farzan Karimi realiseerde zich jaren geleden al dat misconfiguraties in API's (application programming interfaces) streaming content blootstelden aan ongeautoriseerde toegang. In 2020 meldde hij een reeks van dergelijke fouten aan Vimeo, waardoor hij mogelijk toegang had tot bijna 2000 interne bedrijfsvergaderingen en andere soorten livestreams. Het bedrijf loste het probleem destijds snel op, maar de ontdekking deed Karimi vrezen dat soortgelijke problemen zich ook op andere platforms zouden kunnen voordoen.

Jaren later realiseerde hij zich dat hij, door een techniek te verfijnen om in kaart te brengen hoe API's data ophalen en interacteren, ook naar andere kwetsbare platforms kon zoeken. Op Defcon presenteert Karimi bevindingen over de huidige kwetsbaarheden op één mainstream sportstreamingplatform – hij noemt de site niet bij naam omdat de problemen nog niet zijn opgelost – en brengt hij een tool uit om anderen te helpen het probleem op andere sites te identificeren.

"Bij een bedrijf met alle betrokkenen of een andere gevoelige vergadering kan er belangrijke interne informatie worden gedeeld – CEO's of andere leidinggevenden die praten over ontslagen of gevoelige intellectuele eigendommen", vertelde Karimi aan WIRED voorafgaand aan zijn toespraak. "Je ziet een patroon ontstaan in hoe gemakkelijk je authenticatie voor toegang tot streams kunt omzeilen, maar dit soort problemen werd eerder afgedaan als een kwestie van diepgaande kennis van een bepaald bedrijf om ze te identificeren."

API's zijn diensten die gegevens ophalen en retourneren aan iedereen die erom vraagt. Karimi geeft het voorbeeld: je kunt zoeken naar de film Fight Club op een streamingplatform, en de stream voor de film kan informatie opleveren over de lengte van de film, trailers, acteurs in de film en andere metadata. Meerdere API's werken samen om al deze informatie te verzamelen, waarbij elk specifieke soorten gegevens ophaalt. Evenzo, als je zoekt naar Brad Pitt, zal een reeks API's samenwerken om Fight Club te leveren, samen met andere films waarin hij heeft gespeeld, zoals Troy and Seven . Sommige van deze API's zijn ontworpen om een bewijs van authenticatie te vereisen voordat ze resultaten retourneren, maar als een systeem niet grondig is onderzocht, is het gebruikelijk dat andere API's blindelings gegevens retourneren zonder bewijs van autorisatie te vereisen, in de veronderstelling dat alleen een geauthenticeerde aanvrager in staat zal zijn om query's te verzenden.

"Vaak zijn er in principe vier, vijf, een aantal API's met al deze metadata, en als je weet hoe je die kunt traceren, kun je content achter een betaalmuur gratis ontgrendelen", zegt Karimi. "Het is een 'security through obscurity'-model waarbij ze nooit zouden denken dat iemand handmatig de punten tussen deze API's zou kunnen verbinden. De automatisering die ik introduceer, helpt echter om deze autorisatiefouten snel en op grote schaal te vinden."

Karimi benadrukt dat de beste streamingdiensten grotendeels geblokkeerd zijn en dergelijke API-misconfiguraties al lang geleden hebben gecorrigeerd of vanaf het begin hebben vermeden. Maar hij benadrukt dat meer utilitaire platforms voor bedrijfsstreaming en andere live-evenementen – waaronder permanent actieve camera's in sportstadions en andere locaties die alleen op bepaalde tijden toegankelijk zouden moeten zijn – waarschijnlijk kwetsbaar zijn en video blootstellen waarvan men denkt dat die beschermd is.