Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Уязвимости в Hotjar и Business Insider затрагивают процессы аутентификации

31/07/24

hack109-Jul-31-2024-10-26-35-6347-AM

Специалисты компании Salt Security, занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают, что обнаруженные уязвимости подвергают риску миллионы пользователей по всему миру, пишет Securitylab.

Hotjar — инструмент, дополняющий Google Analytics, записывает активность пользователей для анализа их поведения. Им пользуются более миллиона веб-сайтов, включая такие известные бренды, как Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile и Nintendo. Учитывая специфику работы Hotjar, сервис собирает огромные объемы личной и конфиденциальной информации: имена, электронные адреса, домашние адреса, личные сообщения, банковские данные и, в некоторых случаях, даже учетные данные клиентов, пишет Securitylab.

Исследователи Salt Labs выяснили, что злоумышленники могут эксплуатировать комбинацию уязвимостей в стандарте аутентификации OAuth и межсайтового скриптинга (XSS) для захвата учетных записей. OAuth — это современный стандарт, который все чаще применяется для беспрепятственной аутентификации между сайтами, например, когда вы видите опцию «войти через Facebook» или «войти через Google».

XSS считается одной из самых распространенных и давних уязвимостей веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в легитимную веб-страницу, чтобы выполнять скрипты в браузере посетителя сайта для кражи данных и других злонамеренных действий.

Специалисты продемонстрировали, как можно манипулировать процессом социальной авторизации Hotjar, который перенаправляет пользователя на Google для получения секретного токена через OAuth. Этот токен представляет собой URL, содержащий специальный код, который может быть прочитан JavaScript-кодом, что создает уязвимость XSS.

Схожую проблему обнаружили и на сайте Business Insider — популярном новостном портале с миллионами читателей по всему миру. В этом случае уязвимость была выявлена в мобильной версии сайта, где процесс аутентификации также оказался подвержен атакам XSS.

Янив Балмас, вице-президент по исследованиям в Salt, подчеркивает, что обнаруженные уязвимости, вероятно, распространены гораздо шире и могут затрагивать множество других онлайн-сервисов.

Salt Labs оперативно уведомила об обнаруженных проблемах компании Hotjar и Business Insider. Уязвимости были устранены в течение нескольких дней после сообщения.

Уязвимость на сайте Business Insider была обнаружена 20 марта, и компания устранила проблему к 30 марта. Недостаток в Hotjar был выявлен 17 апреля и исправлен уже через два дня после уведомления.

Темы:АутентификацияУгрозыSalt Security
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • MULTIFACTOR: сценарии эффективного использования и интересные случаи
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Использование системы двухфакторной аутентификации в 2023 г. – это не опция, а обязательная составляющая ИТ-инфраструктуры для организации любого масштаба. Рассмотрим самые популярные сценарии применения системы MULTIFACTOR для решения разных задач с применением двухфакторной аутентификации.
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.
  • Проблемы использования биометрии в качестве фактора аутентификации
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Старо, как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако, когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо.
  • Российское решение MULTIFACTOR: повышаем иммунитет среды идентификации и доступа
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Система мультифакторной аутентификации (MFA) является одним из ключевых элементов реализации концепции иммунитета среды идентификации и доступа (IAC).
  • Семь раз проверь: Zero Trust и аутентификация
    Дмитрий Грудинин, системный архитектор компании “Аванпост”
    Основной обязательный элемент Zero Trust – процесс аутентификации. Именно он помогает достоверно определять, кто пытается получить доступ к данным
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...