Uma configuração incorreta que assombra plataformas corporativas de streaming pode expor dados confidenciais

Os principais serviços de streaming, comoNetflix e Disney+, têm investido bastante ao longo dos anos para bloquear seu conteúdo. Sempre que possível, impedem que usuários acessem vídeos sem assinatura ou assistam a conteúdo com bloqueio regional. Novas descobertas apresentadas hoje na conferência de segurança Defcon , em Las Vegas, indicam que plataformas de streaming usadas para transmissões corporativas internas e transmissões esportivas ao vivo podem apresentar falhas básicas de design que permitem que qualquer pessoa acesse uma vasta gama de conteúdo sem precisar fazer login.

O pesquisador independente Farzan Karimi percebeu pela primeira vez anos atrás que configurações incorretas em interfaces de programação de aplicativos, ou APIs, expunham o conteúdo de streaming a acesso não autorizado. Em 2020, ele revelou um conjunto dessas falhas ao Vimeo que poderiam ter lhe permitido acessar cerca de 2.000 reuniões internas da empresa, além de outros tipos de transmissões ao vivo. A empresa corrigiu o problema rapidamente na época, mas a descoberta deixou Karimi preocupado com a possibilidade de problemas semelhantes em outras plataformas.

Anos depois, ele percebeu que, ao refinar uma técnica para mapear como as APIs recuperam dados e interagem, poderia procurar outras plataformas vulneráveis. Na Defcon, Karimi está apresentando descobertas sobre exposições atuais em uma plataforma de streaming de esportes tradicional — ele não está divulgando o nome do site porque os problemas ainda não foram resolvidos — e lançando uma ferramenta para ajudar outras pessoas a identificar o problema em outros sites.

“Em uma reunião geral da empresa ou em outra reunião delicada, pode haver informações internas importantes sendo compartilhadas — CEOs ou outros executivos falando sobre demissões ou propriedade intelectual sensível”, disse Karimi à WIRED antes de sua palestra na conferência. “É possível observar um padrão negativo na facilidade com que se consegue burlar a autenticação para acessar fluxos, mas esse tipo de problema era anteriormente descartado por exigir conhecimento profundo de um determinado negócio para ser identificado.”

APIs são serviços que buscam e retornam dados para quem os solicita. Karimi dá o exemplo de que você pode pesquisar o filme Clube da Luta em uma plataforma de streaming, e o streaming do filme pode retornar informações sobre a duração do filme, trailers, atores do filme e outros metadados. Várias APIs trabalham juntas para reunir todas essas informações, cada uma buscando certos tipos de dados. Da mesma forma, se você pesquisar por Brad Pitt, um conjunto de APIs interagirá para entregar Clube da Luta junto com outros filmes em que ele estrelou, como Tróia e Seven . Algumas dessas APIs são projetadas para exigir prova de autenticação antes de retornarem resultados, mas se um sistema não tiver sido examinado profundamente, é comum que outras APIs retornem dados cegamente sem exigir prova de autorização, partindo do princípio de que apenas um solicitante autenticado estará em condições de enviar consultas.

“Muitas vezes, existem basicamente quatro, cinco ou algumas APIs com todos esses metadados, e se você souber como rastreá-los, pode desbloquear conteúdo protegido por paywall gratuitamente”, diz Karimi. “É um modelo de 'segurança pela obscuridade', em que eles jamais imaginariam que alguém seria capaz de conectar manualmente os pontos entre essas APIs. A automação que estou introduzindo, no entanto, ajuda a encontrar essas falhas de autorização rapidamente e em larga escala.”

Karimi enfatiza que os principais serviços de streaming estão, em grande parte, bloqueados e já corrigiram esses erros de configuração de API há muito tempo ou os evitaram desde o início. No entanto, ele ressalta que plataformas mais utilitárias para streaming corporativo e outros eventos ao vivo — incluindo câmeras sempre ligadas em arenas esportivas e outros locais, que devem ser acessíveis apenas em determinados horários — provavelmente estão vulneráveis e expondo vídeos que se acredita serem protegidos.