Kurumsal Yayın Platformlarını Etkileyen Yanlış Yapılandırma Hassas Verileri Açığa Çıkarabilir

Netflix ve Disney+ gibi önde gelen yayın hizmetleri, içeriklerini kilitlemek için yıllar içinde sürekli yatırımlar yaptı. Mümkün olduğunca, kullanıcıların abonelik olmadan videolara erişmesini veya bölge kısıtlamalı içerikleri izlemesini engelliyorlar. Ancak bugün Las Vegas'taki Defcon güvenlik konferansında sunulan yeni bulgular, şirket içi yayınlar ve spor canlı yayınları gibi şeyler için kullanılan yayın platformlarının, herkesin oturum açmadan geniş bir içerik yelpazesine erişmesine olanak tanıyan temel tasarım kusurları içerebileceğini gösteriyor.

Bağımsız araştırmacı Farzan Karimi, uygulama programlama arayüzlerindeki (API) yanlış yapılandırmaların, yayın akışını yetkisiz erişime açık hale getirdiğini yıllar önce fark etmişti. 2020 yılında, Vimeo'ya, diğer canlı yayın türlerinin yanı sıra yaklaşık 2.000 şirket içi toplantıya da erişmesine olanak sağlayabilecek bir dizi açığı açıkladı. Şirket sorunu o dönemde hızla düzeltti, ancak bu bulgu Karimi'yi benzer sorunların diğer platformlarda da olabileceği konusunda endişelendirdi.

Yıllar sonra, API'lerin verileri nasıl alıp etkileşim kurduğunu haritalayan bir teknik geliştirerek, diğer savunmasız platformları da arayabileceğini fark etti. Defcon'da Karimi, ana akım bir spor yayın platformundaki mevcut riskler hakkında bulgular sunuyor (sorunlar henüz çözülmediği için sitenin adını vermiyor) ve diğer sitelerdeki sorunları tespit etmelerine yardımcı olacak bir araç yayınlıyor.

Karimi, konferans konuşmasından önce WIRED'a verdiği demeçte, "Bir şirketin tüm çalışanları veya diğer hassas toplantıları için, önemli dahili bilgiler paylaşılıyor olabilir; CEO'lar veya diğer yöneticiler işten çıkarmalar veya hassas fikri mülkiyet hakkında konuşuyor olabilir," dedi. "Akışlara erişmek için kimlik doğrulamayı ne kadar kolay atlatabileceğiniz konusunda kötü bir modelin ortaya çıktığını görebilirsiniz, ancak bu tür sorunlar daha önce, belirli bir işletmeyi tanımlamak için derinlemesine bilgi gerektirdiği gerekçesiyle göz ardı ediliyordu."

API'ler, verileri talep eden kişiye getiren ve geri döndüren hizmetlerdir. Karimi, bir yayın platformunda Dövüş Kulübü filmini arayabileceğinizi ve filmin yayın akışının filmin uzunluğu, fragmanları, filmdeki oyuncular ve diğer meta veriler hakkında bilgilerle dönebileceğini örnek olarak veriyor. Birden fazla API, her biri belirli veri türlerini getirerek tüm bu bilgileri bir araya getirmek için birlikte çalışır. Benzer şekilde, Brad Pitt için arama yaparsanız, bir dizi API, Dövüş Kulübü'nü Truva ve Yedi gibi rol aldığı diğer filmlerle birlikte sunmak için etkileşime girecektir. Bu API'lerden bazıları, sonuçları döndürmeden önce kimlik doğrulama kanıtı gerektirecek şekilde tasarlanmıştır, ancak bir sistem derinlemesine incelenmemişse, yalnızca kimliği doğrulanmış bir istekçinin sorgu gönderebileceği varsayımıyla, diğer API'lerin yetkilendirme kanıtı gerektirmeden körü körüne veri döndürmesi yaygındır.

Karimi, "Genellikle tüm bu meta verilere sahip dört, beş veya belirli sayıda API bulunur ve bunlar arasında nasıl iz süreceğinizi biliyorsanız, ücretli içerikleri ücretsiz olarak açabilirsiniz," diyor. "Bu, birinin bu API'ler arasındaki noktaları manuel olarak birleştirebileceğini asla düşünmeyecekleri bir 'gizlilik yoluyla güvenlik' modeli. Ancak benim tanıttığım otomasyon, bu yetkilendirme açıklarını büyük ölçekte hızla bulmaya yardımcı oluyor."

Karimi, önde gelen yayın hizmetlerinin büyük ölçüde kilitlendiğini ve bu tür API yanlış yapılandırmalarını uzun zaman önce düzelttiğini veya en başından beri engellediğini vurguluyor. Ancak, kurumsal yayın ve diğer canlı etkinlikler için daha işlevsel platformların (spor arenaları ve yalnızca belirli zamanlarda erişilebilir olması gereken diğer mekanlardaki sürekli açık kameralar dahil) muhtemelen savunmasız olduğunu ve korunduğu düşünülen videoları ifşa ettiğini vurguluyor.