L'équipe de recherche en sécurité de Checkmarx a analysé la posture de sécurité de la plateforme Coursera due à la popularité croissante de l'apprentissage à distance suscitée par la pandémie de COVID-19. Les problèmes de contrôle d'accès sont la principale préoccupation de cette plateforme.

L'équipe de recherche en sécurité a découvert plusieurs problèmes d'API, comme l'énumération des utilisateurs/comptes via la fonction de réinitialisation du mot de passe, la limitation du manque de ressources sur une API GraphQL et REST, et une mauvaise configuration de GraphQL.

Cependant, il a été constaté que le problème de BOLA (Broken Object Level Authorisation) correspondait parfaitement aux préoccupations de Coursera en matière de contrôle d'accès.

Ce problème d'API BOLA affectait les préférences des utilisateurs. S'il était exploité, des utilisateurs anonymes pouvaient récupérer et modifier les préférences des utilisateurs. Certaines des préférences de l'utilisateur, telles que les cours et les certifications récemment consultés, ont également donné lieu à des fuites de métadonnées, par exemple la date et l'heure de l'activité.

Les chercheurs ont ajouté que cette vulnérabilité aurait pu être exploitée pour comprendre les préférences des utilisateurs en matière de cours à grande échelle, mais aussi pour biaiser les choix des utilisateurs, car la manipulation de leur activité récente affectait le contenu affiché sur la page d'accueil de Coursera pour un utilisateur spécifique.

Le risque lié à cette vulnérabilité concerne les questions d'autorisation qui ont un impact direct sur la confidentialité des données, l'intégrité des données, la confiance des utilisateurs et, finalement, la réputation de l'entreprise. Le risque est de plus en plus élevé selon le type de données auxquelles les utilisateurs non autorisés ont accès ou qu'ils peuvent manipuler (par exemple, les données financières/de paiement).

Par conséquent, l'équipe de sécurité de Checkmarx mentionne que "les problèmes d'autorisation sont, malheureusement, assez courants avec les API. Il est très important de centraliser les validations de contrôle d'accès dans un composant unique, bien testé en permanence et activement maintenu."

Il est donc recommandé que les nouveaux points de terminaison d'API, ou les modifications apportées aux points de terminaison existants, soient examinés avec vigilance en ce qui concerne les exigences de sécurité.

Checkmarx a communiqué ses conclusions à l'équipe de sécurité de Coursera qui avait résolu tous les problèmes d'API.

Malgré les retards dans la résolution complète des vulnérabilités, les chercheurs affirment que Coursera s'est "rapidement approprié" les bugs de l'API, une fois qu'ils ont été signalés. Selon Paulo Silva, chercheur en sécurité, " les API vulnérables étant de plus en plus dans les cibles des adversaires, il est essentiel que les développeurs reçoivent une formation adéquate sur les meilleures pratiques pour intégrer la sécurité dans leur conception dès le départ. "