31/07/24
Специалисты компании Salt Security, занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают, что обнаруженные уязвимости подвергают риску миллионы пользователей по всему миру, пишет Securitylab.
Hotjar — инструмент, дополняющий Google Analytics, записывает активность пользователей для анализа их поведения. Им пользуются более миллиона веб-сайтов, включая такие известные бренды, как Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile и Nintendo. Учитывая специфику работы Hotjar, сервис собирает огромные объемы личной и конфиденциальной информации: имена, электронные адреса, домашние адреса, личные сообщения, банковские данные и, в некоторых случаях, даже учетные данные клиентов, пишет Securitylab.
Исследователи Salt Labs выяснили, что злоумышленники могут эксплуатировать комбинацию уязвимостей в стандарте аутентификации OAuth и межсайтового скриптинга (XSS) для захвата учетных записей. OAuth — это современный стандарт, который все чаще применяется для беспрепятственной аутентификации между сайтами, например, когда вы видите опцию «войти через Facebook» или «войти через Google».
XSS считается одной из самых распространенных и давних уязвимостей веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в легитимную веб-страницу, чтобы выполнять скрипты в браузере посетителя сайта для кражи данных и других злонамеренных действий.
Специалисты продемонстрировали, как можно манипулировать процессом социальной авторизации Hotjar, который перенаправляет пользователя на Google для получения секретного токена через OAuth. Этот токен представляет собой URL, содержащий специальный код, который может быть прочитан JavaScript-кодом, что создает уязвимость XSS.
Схожую проблему обнаружили и на сайте Business Insider — популярном новостном портале с миллионами читателей по всему миру. В этом случае уязвимость была выявлена в мобильной версии сайта, где процесс аутентификации также оказался подвержен атакам XSS.
Янив Балмас, вице-президент по исследованиям в Salt, подчеркивает, что обнаруженные уязвимости, вероятно, распространены гораздо шире и могут затрагивать множество других онлайн-сервисов.
Salt Labs оперативно уведомила об обнаруженных проблемах компании Hotjar и Business Insider. Уязвимости были устранены в течение нескольких дней после сообщения.
Уязвимость на сайте Business Insider была обнаружена 20 марта, и компания устранила проблему к 30 марта. Недостаток в Hotjar был выявлен 17 апреля и исправлен уже через два дня после уведомления.
