VU#849433: API базы данных Adalo позволяет извлекать пользовательские данные между приложениями посредством чрезмерного получения данных и отсутствия средств контроля авторизации
Платформа для создания приложений без кода Adalo имеет серьезный недостаток безопасности, который раскрывает полные записи пользователей через свой API базы данных для всех приложений, созданных как на V1, так и на V2. Эта проблема затрагивает более одного миллиона приложений, подвергая разработчиков и их конечных пользователей риску утечки данных. Проблема возникает из-за недостатка на уровне платформы, который позволяет аутентифицированным пользователям получать полные данные пользователей, принадлежащие любому приложению Adalo, независимо от конфигурации. Adalo является поставщиком программного обеспечения как услуги (SaaS) для создания приложений без кода, и каждое приложение должно быть логически изолировано с отдельными базами данных, пользователями и конфигурациями. Однако API базы данных Adalo содержит недостаток, который позволяет серверной части возвращать полные записи пользователей для каждого запроса компонента списка, независимо от того, какие поля настроены для отображения компонентом. База данных не применяет проверки авторизации на стороне сервера, осведомленные о владении, позволяя аутентифицированным пользователям любого приложения Adalo запрашивать идентификаторы базы данных и таблиц, принадлежащие другим приложениям, и получать полные записи. Кроме того, использование Adalo долгоживущих JWT-токенов, которые остаются действительными примерно двадцать дней, позволяет злоумышленникам повторно использовать эти токены для прямого запроса API базы данных и извлечения больших объемов пользовательских данных. Комбинация раскрытых токенов, разрешительного поведения CORS и больших ограничений на ответы позволяет осуществлять постоянный, автоматизированный сбор полных баз данных пользователей с использованием всего одного токена, полученного из любой сессии посетителя. Уязвимости затрагивают все приложения Adalo как на V1, так и на V2, и клиенты и арендаторы должны предполагать, что данные в коллекциях Adalo могут быть раскрыты, и избегать хранения конфиденциальной информации там до развертывания исправления. Adalo признала проблему, но исправление в настоящее время недоступно, и пользователи должны оставаться осведомленными о повышенных рисках фишинга и кражи личных данных и отслеживать свои учетные записи на предмет подозрительной активности.