idNSA.id - Pada hari Kamis, peneliti keamanan Checkmarx Paulo Silva mengungkapkan penemuan beberapa kegagalan keamanan di platform pembelajaran online Coursera, yang melayani jutaan pelajar, baik di rumah maupun di perusahaan.
Perusahaan ini bekerja sama dengan lebih dari 200 universitas dan perusahaan, termasuk Universitas Stanford, Universitas Duke, AWS, Google, Cisco, dan IBM. Kursus yang ditawarkan berkisar dari gelar di bidang STEM hingga kelas yang lebih pendek di bidang kesehatan, humaniora, dan bahasa.
Silva mengatakan bahwa Checkmarx memutuskan untuk menyelidiki keamanan Coursera karena meningkatnya popularitas pembelajaran jarak jauh dan berdasarkan permintaan yang dipicu oleh pandemi COVID-19, sejalan dengan Program Vulnerability Disclosure, yang diluncurkan pada tahun 2015.
Para peneliti berfokus pada kontrol akses, titik keamanan yang disebutkan dalam program sebagai masalah dalam lingkup: mengakses data yang tidak diizinkan, data peserta didik lain, atau dapat memanfaatkan sistem administrasi backend internal.
Checkmarx menemukan beberapa masalah API, termasuk enumerasi melalui kesalahan fungsi reset kata sandi, keterbatasan sumber daya yang berkaitan dengan GraphQL dan REST API, dan kesalahan konfigurasi GraphQL.
Namun, masalah utama yang perlu diperhatikan adalah kelemahan keamanan Broken Object Level Authorization (BOLA), yang dianggap oleh OWASP sebagai ancaman utama karena kemudahan eksploitasi.
Bugs BOLA dalam API dapat mengekspos endpoint yang menangani pengidentifikasi objek, berpotensi membuka pintu untuk serangan yang lebih luas.
Kerentanan BOLA yang ditemukan terkait dengan preferensi yang disimpan di akun pelajar. Pengguna anonim dapat mengambil informasi ini dan mengubahnya -- dan selain itu, beberapa metadata pengguna juga bocor.
"Sayangnya, masalah otorisasi cukup umum dengan API," kata para peneliti. "Sangat penting untuk memusatkan validasi kontrol akses dalam satu komponen yang diuji dengan baik dan terus-menerus serta dipelihara secara aktif. Endpoint API baru, atau perubahan pada yang sudah ada, harus ditinjau dengan cermat terkait persyaratan keamanannya."
Checkmarx melaporkan temuannya ke Coursera pada 5 Oktober 2020, dan penyedia e-learning mulai melakukan triase laporan pada 26 Oktober. Pada 18 Desember, sebagian patch dikeluarkan, tetapi "masalah" tambahan memerlukan pengujian ulang, menunda konfirmasi perbaikan hingga 24 Mei.
Meskipun penundaan dalam menyelesaikan kerentanan sepenuhnya, para peneliti mengatakan bahwa Coursera mengambil "kepemilikan segera" dari bug API, setelah dilaporkan.
"Privasi dan keamanan pelajar di Coursera adalah prioritas utama," kata Coursera dikutip dari ZDNet. " Kami berterima kasih kepada Checkmarx karena membawa masalah terkait API berisiko rendah menjadi perhatian tim keamanan kami tahun lalu, yang dapat mengatasi dan menyelesaikan masalah dengan segera."
