סוכנויות אבטחת סייבר בארה"ב ובאוסטרליה מדווחות כי נגנב מידע אישי, פיננסי ובריאותי השייך למיליוני אנשים, דרך סוג מסוים של פגיעות אבטחה באתרי אינטרנט. הסוכניות קוראות למפתחי האינטרנט לבדוק את הקוד שלהם ולתקן מיידית את פגם האבטחה הקריטי. פגם האבטחה הזה מוכר כהפניות ישירות לא מאובטחות לאובייקטים, או IDORs. הפניות ישירות לא מאובטחות לאובייקטים (IDOR) מתרחשות כאשר יישום מספק גישה ישירה לאובייקטים על סמך קלט שסופק על ידי המשתמש. כתוצאה מפגיעות זו יכולים האקרים לעקוף הרשאות ולגשת ישירות למשאבים במערכת, למשל לרשומות או לקבצים של מסד נתונים. הפניות ישירות לא מאובטחות לאובייקטים מאפשרות להאקרים לעקוף הרשאות ולגשת ישירות למשאבים על ידי שינוי הערך של פרמטר המשמש להצביע ישירות על אובייקט. משאבים כאלו יכולים להיות ערכי מסד נתונים השייכים למשתמשים אחרים, קבצים במערכת ועוד. הדבר נגרם על ידי העובדה שאפליקציית האינטרנט לוקחת קלט שסופק על ידי המשתמש ומשתמשת בו כדי לאחזר אובייקט מבלי לבצע מספיק בדיקות הרשאה. דוגמה לכך תהיה אתר שיש לו סכימת URL כמו: http://website/gettransaction?id=1234 אשר מציג פרטים על עסקה בעלת מספר זהות 12345. באופן אידיאלי אמורה אפליקציית האינטרנט להציג רק עסקאות השייכות למשתמש המחובר, אבל אם היא פשוט מקבלת כל מספר מזהה נתון באופן עיוור ומציגה את העסקה המתאימה לכל מי שמחובר, זהו IDOR. כל אחד יכול פשוט לנסות את כל מגוון המספרים המזהים ולראות את פרטי העסקה של אנשים אחרים, שיכילו ככל הנראה מידע אישי.
מכאן שה- IDORs הללו עלולים להוביל לפרצות אבטחת מידע בקנה מידה גדול. CISA, בהתראה משותפת עם ה- NSA ומרכז אבטחת הסייבר האוסטרלי, הזהירו כי פושעי סייבר מנצלים לעתים קרובות סוגים אלו של פגמי אבטחה מכיוון שהם נפוצים, קשה למנוע אותם מחוץ לתהליך הפיתוח וניתן לנצל אותם בקנה מידה גדול: "בדרך כלל קיימות פגיעויות אבטחה אלו בגלל שמזהה אובייקט נחשף, מועבר חיצונית או ניתן לניחוש בקלות – מה שמאפשר לכל משתמש לשנות את המזהה ולהשתמש בו", מסבירים CISA.
יכולות להיות לכך השלכות קשות מכיוון שפושעי סייבר יכולים לנצל את הפגמים ב- IDOR כדי לגנוב, לשנות או למחוק נתונים רגישים, לגשת למכשירים ללא רשות או לשלוח נוזקות לקורבנות. מקרה לדוגמא: פרצת אבטחה פיננסית אמריקאית בשנת 2019 שבה נחשפו 800 מיליון קבצים פיננסיים אישיים כולל דפי בנק, מספרי חשבונות בנק ומסמכי תשלום משכנתא. CISA אמרה שפגם אבטחה ב- IDOR אפשר לפושעי הסייבר לגנוב את המידע הפיננסי הזה. לאחרונה הראו חוקרי אבטחה מ- Jumpsec כיצד ניתן לנצל פגיעות IDOR ב- Microsoft Teams כדי לעקוף את בקרות האבטחה ולשלוח קבצים – במיוחד נוזקות, לכל ארגון המשתמש באפליקציית הצ'אט Redmond's chat app. באפריל הזהירה CISA ששני באגים של IDOR במכשירי הבית החכם של Nexx עלולים לאפשר לפושעי סייבר לשלוח הוראות למכשירי הבית החכם של הקורבן דרך ה- NEXX API והחומרה תעשה כל מה שפושעי הסייבר יגידו לה לעשות.
כדי למנוע פרצות נתונים עקב פגמי אבטחה של IDOR, מציעות הסוכנויות לספקים וkמפתחי אפליקציות אינטרנט ליישם עקרונות מאובטחים בכל שלב של תהליך פיתוח התוכנה. כלי ניתוח קוד אוטומטיים יכולים גם הם לשמש לבדיקה אם קיים קוד בעייתי מסוג זה, כך שניתן יהיה לתקן חולשות אבטחה לפני שהתוכנה עוברת לשלב מבצעי. הסוכנויות גם פרסמו שורה של המלצות בהם יכולים לנקוט ספקים, מעצבי אפליקציות, מפתחים ומשתמשי קצה כדי להפחית את הסיכון מפגמי IDOR ולהגן טוב יותר על נתונים רגישים מפני פשיעת סייבר. זוהי רשימה ארוכה של הצעות לפעולות ומולץ לקרוא אותה בשלמותה, אולם ההמלצה המשמעותית ביותר לענייננו הינה: "יש להגדיר אפליקציות אינטרנט כך שתימנע גישה כברירת מחדל ולוודא שהאפליקציה מבצעת בדיקות אימות והרשאות עבור כל בקשה לשנות נתונים, למחוק נתונים ולגשת לנתונים רגישים". למשתמשים במודלים של תוכנה כשירות (SaaS) עבור אפליקציות מבוססות ענן, מומלץ להשתמש בבדיקת נאותות ולפעול לפי שיטות עבודה מומלצות לניהול סיכונים בשרשרת האספקה. עבור ארגונים של משתמשי קצה הפורסים תוכנה מקומית, תשתית כשירות (IaaS) או מודלים של ענן פרטי, ממליצות הסוכנויות לבצע בדיקות אימות והרשאות בכל אפליקציות אינטרנט המאפשרות גישה או שינוי של מידע רגיש. כמו כן מומלץ להחיל תיקונים בהקדם האפשרי למקרה שנמצאים פגמי IDOR וכל פגמי אבטחה אחרים שיש לתקן. לבסוף, מומלץ לבצע תרגולות קבועות לבדיקות חדירה וסריקת פגיעות, כדי להבטיח שאפליקציות אינטרנט הפונות לאינטרנט מאובטחות.
