Gli esperti hanno avvertito che le informazioni sensibili di milioni di persone vengono rubate ogni giorno da vari siti web e applicazioni web. Il denominatore comune in tutti questi incidenti sembra essere l’esistenza di riferimenti diretti a oggetti insicuri (IDOR), difetti che permettono alle persone di richiedere informazioni sensibili senza che il sito controlli se l’utente ha il permesso di accedere a tali informazioni.
Allarme da parte della CISA
La CISA degli Stati Uniti ha suonato l’allarme sugli IDOR, in un bollettino di sicurezza congiunto pubblicato con l’Australian Cyber Security Centre. Nell’annuncio, la CISA ha notato che gli hacker stanno sfruttando frequentemente i difetti IDOR “perché sono comuni, difficili da prevenire al di fuori del processo di sviluppo e possono essere abusati su larga scala.”
Conseguenze degli attacchi
Le conseguenze di questi attacchi possono essere molto dolorose, in quanto permettono agli attori delle minacce di rubare dati sensibili come informazioni finanziarie, dati sanitari o file personali. Ciò include incidenti come la violazione della sicurezza della First American Financial nel 2019 (800 milioni di file personali rubati), il difetto IDOR di Microsoft Teams scoperto a giugno 2023 e i due bug IDOR nei dispositivi smart home Nexx trovati nell’aprile 2023.
Responsabilità degli sviluppatori web
Gli sviluppatori web dovrebbero intensificare i loro sforzi, afferma la CISA, e implementare principi di sicurezza in ogni fase del processo di sviluppo. Ciò include l’incorporazione di strumenti di analisi del codice automatizzati che possono individuare difetti nel codice prima che le applicazioni raggiungano la fase di produzione. Le due organizzazioni hanno anche dichiarato che gli sviluppatori dovrebbero configurare le applicazioni “per negare l’accesso per impostazione predefinita” per garantire che le applicazioni eseguano controlli di autenticazione ogni volta che qualcuno chiede di accedere o modificare qualsiasi tipo di dato sensibile.
Prospettive future
La crescente preoccupazione per gli IDOR sottolinea l’importanza della sicurezza nella progettazione e nello sviluppo di applicazioni web. La consapevolezza e l’azione su questi difetti possono aiutare a prevenire furti di dati su larga scala e proteggere le informazioni sensibili degli utenti.