Podatności IDOR są jednymi z najczęściej spotykanych problemów z bezpieczeństwem aplikacji. Agencje ds. cyberbezpieczeństwa USA i Australii w 2023 roku wydały ostrzeżenie przed tym zagrożeniem, potwierdzając, że doprowadziło ono do wycieku danych milionów osób. Wśród organizacji, u których wykryto lukę pozwalającą na przeprowadzenie ataku IDOR, można wymienić m.in. firmy Eaton czy PayPal.

Insecure Direct Object Reference (IDOR) to luka bezpieczeństwa w aplikacjach. Polega na umożliwieniu dostępu zasobów na podstawie identyfikatora przekazanego przez użytkownika bez weryfikacji, czy ma on do nich uprawnienia.

W praktyce, jeśli aplikacja pozwala na dostęp do zasobów poprzez adres URL, zawierający identyfikator, np. https://domena.pl/user/123, i nie sprawdza uprawnień do przeglądania danych użytkownika o ID 123, może to prowadzić do nieautoryzowanego dostępu.

Brak odpowiednich mechanizmów kontroli dostępu pozwala na eskalację:

• poziomą – osoba o standardowych uprawnieniach uzyskuje dostęp do danych innych użytkowników,


• pionową – użytkownik zyskuje dostęp do funkcji lub danych przeznaczonych dla użytkowników o wyższych uprawnieniach.

Skutki wykorzystania IDOR mogą być poważne. Obejmują np. kradzież danych osobowych, finansowych i medycznych czy naruszenie prywatności.

Atak typu IDOR zaczyna się od analizy aplikacji w poszukiwaniu miejsc, w których atakujący może wpływać na identyfikatory obiektów. Są to najczęściej parametry w adresie URL, dane przesyłane w ciele żądania, ciasteczka lub tokeny. Analiza ma na celu identyfikację punktów niezabezpieczonych przed nieautoryzowanym dostępem.

Po zidentyfikowaniu punktu wejścia haker analizuje strukturę identyfikatorów, poszukując przewidywalnych wzorców. Mogą to być np. sekwencyjne numery ID. Etap ten ułatwia odgadnięcie innych wartości mogących prowadzić do nieautoryzowanego dostępu.

Mając już wszystkie potrzebne dane, atakujący modyfikuje identyfikatory w żądaniach, próbując dostać się zasobów, do których nie ma uprawnień. W przypadku, gdy aplikacja ich nie weryfikuje, takie zapytanie może zostać przetworzone.

Po wysłaniu zmodyfikowanego żądania atakujący analizuje odpowiedź serwera i jeśli otrzyma dane (np. bazy danych, pliki, ukryte strony, podstrony), do których nie powinien mieć dostępu, potwierdza to istnienie luki typu IDOR. Haker może wówczas wykorzystać ją do pozyskania poufnych danych lub wykonania innych nieuprawnionych działań.

Niezwłocznie po wykryciu takiej sytuacji firma musi zgłosić atak hakerski do Urzędu Ochrony Danych Osobowych (jeśli doszło do naruszenia), do CSIRT (w przypadku firm działających w sektorach kluczowych) oraz na policję lub do prokuratury.

Konsekwencje ataku Insecure Direct Object Reference wykraczają poza strefę techniczną. Mogą bowiem odbić się na kondycji finansowej i reputacji firmy, doprowadzając do długofalowych problemów, a nawet przyczynić się do jej upadku.

Możliwe następstwa ataku IDOR to m.in.:

• Utrata zaufania klientów – naruszenie prywatności może skutkować znacznym spadkiem zaufania do firmy, w wyniku czego zmniejszy się zainteresowanie towarami i usługami przedsiębiorstwa. Odbudowa reputacji wymaga znacznych nakładów czasu i środków (i nie zawsze jest możliwa).


• Straty finansowe – bezpośrednie koszty wynikające z ataku IDOR obejmują wydatki na dochodzenia, powiadomienia klientów, obsługę prawną i potencjalne odszkodowania. Dodatkowo mogą pojawić się straty wynikające z przerw w działalności.


• Konsekwencje prawne – wyciek spowodowany przez IDOR może naruszać przepisy o ochronie danych osobowych. Może to skutkować nałożeniem na firmę wysokich kar finansowych i objęciem jej nadzorem organów regulacyjnych.


• Utrata przewagi konkurencyjnej – ujawnienie poufnych informacji, takich jak dane klientów czy tajemnice handlowe, może osłabić pozycję firmy na rynku.


• Wzrost kosztów ubezpieczenia – po incydencie związanym z IDOR firma może spotkać się ze znaczącym wzrostem składki ubezpieczeniowej w zakresie polisy cyberbezpieczeństwa.


• Zakłócenia operacyjne – dochodzenie i poprawa zabezpieczeń mogą wiązać się z koniecznością wyłączenia systemów informatycznych firmy, co z kolei może skutkować przerwą w świadczeniu usług i dostępu do systemów.

IDOR nie jest szczególnie wyrafinowanym rodzajem ataku hakerskiego, ponieważ niemal każdy użytkownik przeglądarki może manipulować parametrami adresu WWW i próbować dotrzeć do zaszyfrowanych zasobów. Nie mniej jednak jego konsekwencje mogą zachwiać każdą organizacją, stąd tak ważne jest wdrożenie odpowiednich środków zaradczych i regularne monitorowanie systemów pod kątem tego rodzaju podatności.

Podatności IDOR zostały odnalezione nawet w zasobach Departamentu Obrony USA. Obrazuje to, że każda organizacja korzystająca z aplikacji powinna podjąć stosowne kroki, żeby chronić się przed tym zagrożeniem.

Zapobieganie podatnościom typu IDOR wymaga kompleksowego podejścia łączącego dobre praktyki programistyczne z odpowiednimi rozwiązaniami z zakresu cyberbezpieczeństwa. Każde żądanie dostępu do zasobu powinny być poprzedzone weryfikacją uprawnień użytkownika (w myśl podejścia Zero Trust).

Dobrą praktyką jest także zastąpienie sekwencyjnych identyfikatorów ciągami znaków, które są trudne do odgadnięcia (np. UUID). Utrudnia to atakującemu zgadywanie identyfikatorów zasobów i potencjalne wykorzystanie luk typu IDOR.

W miarę możliwości aplikacja powinna też unikać polegania na identyfikatorach przekazywanych przez klienta. Zamiast tego powinny być one pobierane po stronie serwera na podstawie kontekstu użytkownika.

Warto pamiętać, że żaden system nie jest w pełni odporny na ataki hakerskie – metody i narzędzia cyberprzestępców cały czas ewoluują, dlatego trzeba stale ulepszać zabezpieczenia. W tym celu warto przeprowadzać regularne testy podatności oraz audyty bezpieczeństwa, które pozwalają na wczesne wykrycie potencjalnych zagrożeń, w tym podatności IDOR.

Nad kwestią cyberbezpieczeństwa powinni czuwać doświadczeni specjaliści. W Security Operations Center Netii zapewniamy całodobowy monitoring infrastruktury IT – dzięki temu organizacja może zapobiegać atakom, a także błyskawicznie reagować na incydenty i ograniczać ich skutki.

Twoja firma może skorzystać również z pentestów oraz skanów podatności stron WWW i webaplikacji. Dedykowane narzędzie Netia Managed WAF zabezpiecza takie zasoby poprzez sprawdzanie żądań i zapytań ruchu do i z aplikacji webowej oraz blokowaniu niebezpiecznego, podejrzanego bądź sztucznego ruchu internetowego.