Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Тысячи платформ ставят под угрозу своих пользователей, неправильно проверяя токены

26/10/23

hack14-Oct-26-2023-11-15-52-8050-AM

Исследователи компании Salt Security выявили уязвимости в алгоритме OAuth, позволяющем веб-сайтам и приложениям получать доступ к информации из другого сервиса всего в один клик, без необходимости ввода пароля. Самое популярное применение этого стандарта — авторизация на сторонних платформах через социальные сети. Об этом пишет Securitylab.

Для авторизации через социальные сети используется специальный «токен», который подтверждает нашу идентичность. Однако, как выяснила Salt Labs, не все сайты корректно его проверяют. В ходе исследования специалистам удалось «подменить» токен и получить доступ к чужим аккаунтам на нескольких платформах. Такой способ взлома назвали «Pass-The-Token Attack» или «атакой путем передачи токена».

«Уязвимость могла затронуть почти миллиард учетных записей на разных сайтах», — предупреждают исследователи.

Баг потенциально позволяет злоумышленникам получить доступ к аккаунтам десятков сервисов, включая банковские и платежные системы. Среди примеров выделяют Grammarly, Vidio и Bukalapak.

Vidio, платформа для видеотрансляций, которая насчитывает более 100 млн активных пользователей, предлагает широкий спектр контента. Здесь был обнаружен баг OAuth при входе через Facebook*.

«Так как сайт Vidio.com не проверял токены (об этом должны были позаботиться разработчики, а не сама OAuth), злоумышленники могли взаимодействовать с API, подставляя ключ, созданный для другого сервиса. Подменный токен в сочетании с идентификатором приложения позволили исследовательской группе Salt Labs выдать себя за одного из реальных пользователей Vidio. Это могло бы привести к массовому захвату контроля над тысячами аккаунтов», — подчеркивается в отчете.

В Bukalapak, одной из крупнейших торговых онлайн-площадок в Индонезии с аудиторией более 150 млн человек, проблема возникла при регистрации через соцсети. Сайт анализировал токены некорректно, поэтому специалисты так же без труда вставили код с другого сайта и получили доступ к учетным данным одного из покупателей.

Grammarly, инструмент для проверки и коррекции текста на базе ИИ, который используется более чем 30 млн человек ежедневно, столкнулся с идентичной проблемой.

«OAuth успел стать одним из лидеров в сфере защиты приложений и продолжает набирать популярность как основной протокол для авторизации и аутентификации», — отметил Янив Балмас, вице-президент по исследованиям в Salt Security. «Работа Salt Labs наглядно показывает, какие риски несёт за собой некорректная реализация OAuth для компаний и их клиентов

Отчет Salt Security, посвященный безопасности API веб-сервисов, выявил тревожный рост числа кибератак в первом квартале 2023 года. За последние шесть месяцев количество инцидентов увеличилось на 400%. 43% опрошенных пользователей выразили глубокую озабоченность по поводу безопасности своих аккаунтов и риска их несанкционированного захвата.

* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями; их деятельность запрещена на территории РФ.

Темы:соцсетиУгрозыпаролиSalt SecurityOAuth
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...