Тысячи платформ ставят под угрозу своих пользователей, неправильно проверяя токены.
Исследователи компании Salt Security Для просмотра ссылки Войдиили Зарегистрируйся в алгоритме OAuth, позволяющем веб-сайтам и приложениям получать доступ к информации из другого сервиса всего в один клик, без необходимости ввода пароля. Самое популярное применение этого стандарта — авторизация на сторонних платформах через социальные сети.
Мы все видели такие опции на страницах разных сайтов. Например «Войти через ВКонтакте».
Для авторизации через социальные сети используется специальный «токен», который подтверждает нашу идентичность. Однако, как выяснила Salt Labs, не все сайты корректно его проверяют. В ходе исследования специалистам удалось «подменить» токен и получить доступ к чужим аккаунтам на нескольких платформах. Такой способ взлома назвали «Pass-The-Token Attack» или «атакой путем передачи токена».
«Уязвимость могла затронуть почти миллиард учетных записей на разных сайтах», — предупреждают исследователи.
Баг потенциально позволяет злоумышленникам получить доступ к аккаунтам десятков сервисов, включая банковские и платежные системы. Среди примеров выделяют Grammarly, Vidio и Bukalapak.
Vidio, платформа для видеотрансляций, которая насчитывает более 100 млн активных пользователей, предлагает широкий спектр контента. Здесь был обнаружен баг OAuth при входе через Facebook*.
«Так как сайт Vidio.com не проверял токены (об этом должны были позаботиться разработчики, а не сама OAuth), злоумышленники могли взаимодействовать с API, подставляя ключ, созданный для другого сервиса. Подменный токен в сочетании с идентификатором приложения позволили исследовательской группе Salt Labs выдать себя за одного из реальных пользователей Vidio. Это могло бы привести к массовому захвату контроля над тысячами аккаунтов», — подчеркивается в отчете.
В Bukalapak, одной из крупнейших торговых онлайн-площадок в Индонезии с аудиторией более 150 млн человек, проблема возникла при регистрации через соцсети. Сайт анализировал токены некорректно, поэтому специалисты так же без труда вставили код с другого сайта и получили доступ к учетным данным одного из покупателей.
Grammarly, инструмент для проверки и коррекции текста на базе ИИ, который используется более чем 30 млн человек ежедневно, столкнулся с идентичной проблемой.
«OAuth успел стать одним из лидеров в сфере защиты приложений и продолжает набирать популярность как основной протокол для авторизации и аутентификации», — отметил Янив Балмас, вице-президент по исследованиям в Salt Security. «Работа Salt Labs наглядно показывает, какие риски несёт за собой некорректная реализация OAuth для компаний и их клиентов.»
Для просмотра ссылки Войдиили Зарегистрируйся , посвященный безопасности API веб-сервисов, выявил тревожный рост числа кибератак в первом квартале 2023 года. За последние шесть месяцев количество инцидентов увеличилось на 400%. 43% опрошенных пользователей выразили глубокую озабоченность по поводу безопасности своих аккаунтов и риска их несанкционированного захвата.
Исследователи компании Salt Security Для просмотра ссылки Войди
Мы все видели такие опции на страницах разных сайтов. Например «Войти через ВКонтакте».
Для авторизации через социальные сети используется специальный «токен», который подтверждает нашу идентичность. Однако, как выяснила Salt Labs, не все сайты корректно его проверяют. В ходе исследования специалистам удалось «подменить» токен и получить доступ к чужим аккаунтам на нескольких платформах. Такой способ взлома назвали «Pass-The-Token Attack» или «атакой путем передачи токена».
«Уязвимость могла затронуть почти миллиард учетных записей на разных сайтах», — предупреждают исследователи.
Баг потенциально позволяет злоумышленникам получить доступ к аккаунтам десятков сервисов, включая банковские и платежные системы. Среди примеров выделяют Grammarly, Vidio и Bukalapak.
Vidio, платформа для видеотрансляций, которая насчитывает более 100 млн активных пользователей, предлагает широкий спектр контента. Здесь был обнаружен баг OAuth при входе через Facebook*.
«Так как сайт Vidio.com не проверял токены (об этом должны были позаботиться разработчики, а не сама OAuth), злоумышленники могли взаимодействовать с API, подставляя ключ, созданный для другого сервиса. Подменный токен в сочетании с идентификатором приложения позволили исследовательской группе Salt Labs выдать себя за одного из реальных пользователей Vidio. Это могло бы привести к массовому захвату контроля над тысячами аккаунтов», — подчеркивается в отчете.
В Bukalapak, одной из крупнейших торговых онлайн-площадок в Индонезии с аудиторией более 150 млн человек, проблема возникла при регистрации через соцсети. Сайт анализировал токены некорректно, поэтому специалисты так же без труда вставили код с другого сайта и получили доступ к учетным данным одного из покупателей.
Grammarly, инструмент для проверки и коррекции текста на базе ИИ, который используется более чем 30 млн человек ежедневно, столкнулся с идентичной проблемой.
«OAuth успел стать одним из лидеров в сфере защиты приложений и продолжает набирать популярность как основной протокол для авторизации и аутентификации», — отметил Янив Балмас, вице-президент по исследованиям в Salt Security. «Работа Salt Labs наглядно показывает, какие риски несёт за собой некорректная реализация OAuth для компаний и их клиентов.»
Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru