De Amerikaanse en Australische overheid hebben een gezamenlijke waarschuwing afgegeven voor IDOR-kwetsbaarheden, omdat aanvallers daar vaak misbruik van maken en die tot grote datalekken hebben geleid waarbij de gegevens van miljoenen mensen op straat zijn beland.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Een bekend voorbeeld is wanneer een klant van een webshop in de adresbalk van de browser het nummer van zijn factuur aanpast en dan de factuur en gegevens van een andere klant te zien krijgt. Vanwege de impact van IDOR-kwetsbaarheden zijn de Amerikaanse geheime dienst NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Australische Cyber Security Centre (ACSC) nu met een waarschuwing gekomen, gericht aan leveranciers en ontwikkelaars van webapplicaties en organisaties die hier gebruik van maken.

"Deze kwetsbaarheden komen vaak voor en zijn buiten het ontwikkelproces lastig te voorkomen, aangezien elke use case uniek is en niet met een eenvoudige library of beveiligingsfunctie is te verhelpen. Daarnaast kunnen aanvallers ze door middel van geautomatiseerde tools op grote schaal detecteren en misbruiken", aldus de overheidsdiensten.

Ontwikkelaars worden onder andere opgeroepen om "secure coding practices" te volgen en "secure-by-design" en "security by default" toe te passen. Organisaties moeten bij de keuze voor webapplicaties alleen kiezen voor ontwikkelaars die dergelijke best practices volgen en applicaties zo in te stellen dat IDOR-pogingen worden gelogd.