Una configuración incorrecta que afecta a las plataformas de streaming corporativas podría exponer datos confidenciales

Los principales servicios de streaming comoNetflix y Disney+ han realizado inversiones sostenidas a lo largo de los años para restringir el acceso a su contenido. Siempre que pueden, impiden que los usuarios accedan a vídeos sin suscripción o vean contenido bloqueado por región. Sin embargo, nuevos hallazgos presentados hoy en la conferencia de seguridad Defcon en Las Vegas indican que las plataformas de streaming utilizadas para transmisiones corporativas internas y transmisiones deportivas en vivo pueden contener fallas de diseño básicas que permiten a cualquiera acceder a una gran cantidad de contenido sin iniciar sesión.

El investigador independiente Farzan Karimi se dio cuenta hace años de que las configuraciones incorrectas en las interfaces de programación de aplicaciones (API) exponían el contenido de streaming a accesos no autorizados. En 2020, reveló a Vimeo un conjunto de fallos similares que podrían haberle permitido acceder a cerca de 2000 reuniones internas de la empresa, además de otros tipos de transmisiones en vivo. La empresa solucionó el problema rápidamente en ese momento, pero el hallazgo generó en Karimi la preocupación de que problemas similares pudieran estar presentes en otras plataformas.

Años después, se dio cuenta de que, al perfeccionar una técnica para mapear cómo las API recuperan datos e interactúan, podría buscar otras plataformas vulnerables. En Defcon, Karimi presentará hallazgos sobre las exposiciones actuales en una plataforma de streaming deportivo convencional (no revelará el nombre del sitio porque los problemas aún no se han resuelto) y lanzará una herramienta para ayudar a otros a identificar el problema en otros sitios.

“En una reunión general de la empresa o cualquier otra reunión sensible, podría compartirse información interna clave: directores ejecutivos u otros ejecutivos hablando de despidos o propiedad intelectual sensible”, declaró Karimi a WIRED antes de su conferencia. “Se puede observar un patrón negativo en la facilidad con la que se puede eludir la autenticación para acceder a las transmisiones, pero antes se descartaba que este tipo de problema requiriera un profundo conocimiento de la empresa para identificarlo”.

Las API son servicios que obtienen y devuelven datos a quien los solicita. Karimi da el ejemplo de que puedes buscar la película Fight Club en una plataforma de streaming, y la transmisión de la película puede devolver información sobre la duración de la película, tráilers, actores en la película y otros metadatos. Varias API trabajan juntas para ensamblar toda esta información y cada una obtiene ciertos tipos de datos. De manera similar, si buscas a Brad Pitt, un conjunto de API interactuará para entregar Fight Club junto con otras películas en las que ha participado, como Troya y Seven . Algunas de estas API están diseñadas para requerir una prueba de autenticación antes de devolver resultados, pero si un sistema no se ha examinado en profundidad, es común que otras API devuelvan datos a ciegas sin requerir una prueba de autorización, asumiendo que solo un solicitante autenticado estará en condiciones de enviar consultas.

“A menudo hay básicamente cuatro, cinco o incluso varias API que contienen todos estos metadatos, y si sabes cómo rastrearlas, puedes desbloquear contenido de pago gratis”, dice Karimi. “Es un modelo de 'seguridad por oscuridad' donde nunca pensarían que alguien podría conectar manualmente los puntos entre estas API. Sin embargo, la automatización que estoy introduciendo ayuda a detectar estas fallas de autorización rápidamente y a gran escala”.

Karimi enfatiza que los principales servicios de streaming están prácticamente bloqueados y que corrigieron estas configuraciones incorrectas de API hace mucho tiempo o las evitaron desde el principio. Sin embargo, enfatiza que las plataformas más utilitarias para streaming corporativo y otros eventos en vivo —incluidas las cámaras siempre activas en estadios deportivos y otros recintos que solo deben ser accesibles en ciertos momentos— probablemente sean vulnerables y expongan videos que se consideran protegidos.