Pratite nas preko RSS-aHiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima
Vesti, 26.10.2023, 11:00 AM
Nedostaci u mehanizmima za prijavu pomoću naloga na društvenim mrežama čine hiljade veb sajtova i milijardu njihovih korisnika ranjivim na napade preuzimanja naloga, upozorila je kompanija Salt Security.
Najnovije istraživanje kompanije Salt Security ukazalo je na nedostatke u verifikaciji pristupnog tokena u procesu prijavljivanja preko naloga na društvenim mrežama, koji je deo implementacije OAutha na ovim veb sajtovima.
OAuth, „jedan od najpopularnijih protokola i za autorizaciju i za autentifikaciju korisnika“, je poput digitalnog ključa koji omogućava veb sajtovima ili aplikacijama da pristupe određenim informacijama sa drugog servisa „jednim klikom“, bez potrebe za unošenjem lozinke. OAuth olakšava verifikaciju identiteta korisnika klikom na njihove naloge društvenih medija, kao što su Google ili Facebook.
Prijavljivanje sa Facebookom (Salt Labs)
Međutim, za ovu vrstu prijavljivanja, sajtovi moraju da verifikuju obezbeđeni token da bi odobrili pristup, a to je nešto što mnogi ne uspevaju. Tako su istraživači Salt Labsa mogli da ubace token sa drugog sajta kao verifikovani token i dobiju pristup korisničkim nalozima. Ova tehnika se zove „Pass-The-Token“ napad.
„Ranjivosti bi mogle da utiču na skoro milijardu korisničkih naloga na tri sajta [koje je testirao Salt Labs]“, upozoravaju istraživači.
Ranjivosti omogućavaju sajber kriminalcima da pristupe korisničkim nalozima na desetinama veb sajtova, što uključuje i informacije u vezi plaćanja i druge osetljive podatke. Hakeri bi takođe mogli da izvrše bilo koju radnju u ime korisnika, što bi za posledicu moglo imati krađu identiteta i finansijske prevare.
Više platformi je otklonilo ove nedostatke ali je hiljade veb sajtova i dalje podložno ovoj vrsti napada. Među platformama koje su rešile problem je Vidio, sa 100 miliona aktivnih korisnika mesečno, kojima platforma nudi niz sadržaja, uključujući filmove, TV emisije, sportske prenose i drugo. Istraživači kompanije Salt Labs otkrili su bezbednosne propuste prilikom prijavljivanja preko Facebooka na Vidio.
Problem su rešili i Bukalapak, koji ima više od 150 miliona korisnika mesečno, i Grammarly sa više od 30 miliona korisnika dnevno.
Foto: Kaitlyn Baker / Unsplash
Izdvojeno
Privatni razgovori sa ChatGPT-jem u rezultatima Google pretrage, korisnici zabrinuti
Ako ste ikada koristili opciju „Share“ u ChatGPT-ju, postoji realna šansa da je taj sadržaj sada dostupan svima i da se lako može prona... Dalje
Ransomware nije više samo šifrovanje već prava poslovna katastrofa
Sajber kriminalci sve više napuštaju klasične metode iznuđivanja i prelaze na četvorostruku iznudu - ekstremno agresivnu taktiku koja uključuje ... Dalje
Zbog greške u popularnom WordPress pluginu ugroženo više od 200.000 sajtova
Više od 200.000 veb sajtova koji koriste ranjivu verziju popularnog WordPress plugina Post SMTP mogli bi biti laka meta za hakere. Post SMTP je dodat... Dalje
Digitalna distopija: kako WiFi može da vas prepozna
Naučnici sa Univerziteta La Sapienza u Rimu otkrili su kako da prepoznaju ljude samo pomoću WiFi signala, bez ikakvog snimanja, bez saglasnosti, bez... Dalje
Malver u novoj igri na Steamu krade lozinke i kriptovalutu
Igrači na Steam platformi ponovo su se našli na meti sajber kriminalaca, ovoga puta kroz kompromitovanu igru Chemia, koja je korišćena za distribu... Dalje
Pratite nas
Nagrade
Prijatelji
