Logo

Seleziona la lingua

Italian

Down Icon

Seleziona Paese

Netherlands

Down Icon

Una configurazione errata che affligge le piattaforme di streaming aziendali potrebbe esporre dati sensibili

Una configurazione errata che affligge le piattaforme di streaming aziendali potrebbe esporre dati sensibili
Un ricercatore di sicurezza ha scoperto che configurazioni API difettose affliggono le piattaforme di live streaming aziendali, esponendo potenzialmente le riunioni aziendali interne. Sta per lanciare uno strumento per individuarle.
Illustrazione fotografica: WIRED Staff/Getty Images

I principali servizi di streaming comeNetflix e Disney+ hanno investito in modo costante nel corso degli anni per proteggere i propri contenuti. Ogni volta che possono, impediscono agli utenti di accedere a video senza abbonamento o di guardare contenuti con restrizioni regionali. Tuttavia, nuove scoperte presentate oggi alla conferenza sulla sicurezza Defcon di Las Vegas indicano che le piattaforme di streaming utilizzate per attività come trasmissioni aziendali interne e dirette sportive possono presentare difetti di progettazione di base che consentono a chiunque di accedere a una vasta gamma di contenuti senza effettuare il login.

Il ricercatore indipendente Farzan Karimi si rese conto per la prima volta anni fa che le configurazioni errate nelle interfacce di programmazione delle applicazioni, o API, esponevano i contenuti in streaming ad accessi non autorizzati. Nel 2020 rivelò a Vimeo una serie di tali falle che gli avrebbero consentito di accedere a quasi 2.000 riunioni aziendali interne, oltre ad altri tipi di live streaming. L'azienda risolse rapidamente il problema all'epoca, ma la scoperta lasciò Karimi preoccupato che problemi simili potessero presentarsi anche su altre piattaforme.

Anni dopo, si rese conto che, perfezionando una tecnica per mappare il modo in cui le API recuperano i dati e interagiscono, avrebbe potuto individuare altre piattaforme vulnerabili. Al Defcon, Karimi presenterà i risultati delle attuali esposizioni in una delle principali piattaforme di streaming sportivo (non cita il sito perché i problemi non sono ancora stati risolti) e pubblicherà uno strumento per aiutare altri a identificare il problema in altri siti.

"Durante una riunione plenaria o un incontro delicato, potrebbero essere condivise informazioni interne chiave, come CEO o altri dirigenti che parlano di licenziamenti o di proprietà intellettuale sensibile", ha detto Karimi a WIRED prima del suo intervento alla conferenza. "Si può osservare un andamento negativo nella facilità con cui si riesce ad aggirare l'autenticazione per accedere ai flussi, ma in precedenza si riteneva che questa tipologia di problema richiedesse una conoscenza approfondita di una determinata azienda per essere identificata".

Le API sono servizi che recuperano e restituiscono dati a chiunque ne faccia richiesta. Karimi fa l'esempio di cercare il film Fight Club su una piattaforma di streaming: lo streaming del film potrebbe restituire informazioni sulla durata del film, trailer, attori presenti e altri metadati. Diverse API lavorano insieme per assemblare tutte queste informazioni, ognuna delle quali recupera determinati tipi di dati. Allo stesso modo, se si cerca Brad Pitt, un set di API interagirà per fornire Fight Club insieme ad altri film in cui ha recitato, come Troy e Seven . Alcune di queste API sono progettate per richiedere una prova di autenticazione prima di restituire risultati, ma se un sistema non è stato esaminato attentamente, è comune che altre API restituiscano dati alla cieca senza richiedere una prova di autorizzazione, partendo dal presupposto che solo un richiedente autenticato sarà in grado di inviare query.

"Spesso ci sono fondamentalmente quattro, cinque, un certo numero di API che contengono tutti questi metadati, e se si sa come tracciarli, è possibile sbloccare gratuitamente contenuti a pagamento", afferma Karimi. "È un modello di 'sicurezza attraverso l'oscurità' in cui non si penserebbe mai che qualcuno possa collegare manualmente i punti tra queste API. L'automazione che sto introducendo, tuttavia, aiuta a individuare rapidamente queste falle di autorizzazione su larga scala".

Karimi sottolinea che i principali servizi di streaming sono in gran parte bloccati e hanno corretto tali errori di configurazione delle API molto tempo fa o li hanno evitati fin dall'inizio. Tuttavia, sottolinea che le piattaforme più funzionali per lo streaming aziendale e altri eventi in diretta – comprese le telecamere sempre attive negli stadi e in altri luoghi che dovrebbero essere accessibili solo in determinati orari – sono probabilmente vulnerabili e mettono a rischio la sicurezza di video che si ritiene siano protetti.

wired

wired

Notizie simili

Tutte le notizie
Animated ArrowAnimated ArrowAnimated Arrow
Non solo Musk e Starlink. I satelliti polacchi stanno cambiando le regole del gioco in prima linea e nel mondo degli affari.
wnp.pl

Non solo Musk e Starlink. I satelliti polacchi stanno cambiando le regole del gioco in prima linea e nel mondo degli affari.

L'ex capo della NSA Paul Nakasone lancia un avvertimento al mondo della tecnologia
wired

L'ex capo della NSA Paul Nakasone lancia un avvertimento al mondo della tecnologia

Il nuovo chatbot AI di Truth Social è l'incarnazione della dieta mediatica di Donald Trump
wired

Il nuovo chatbot AI di Truth Social è l'incarnazione della dieta mediatica di Donald Trump

Gli hacker hanno cercato una backdoor nelle casseforti ad alta sicurezza e ora possono aprirle in pochi secondi
wired

Gli hacker hanno cercato una backdoor nelle casseforti ad alta sicurezza e ora possono aprirle in pochi secondi

Il prezzo basato sulle vibrazioni del software di intelligenza artificiale "Pro"
wired

Il prezzo basato sulle vibrazioni del software di intelligenza artificiale "Pro"