Hiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima

Vesti, 26.10.2023, 11:00 AM

Hiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima

Nedostaci u mehanizmima za prijavu pomoću naloga na društvenim mrežama čine hiljade veb sajtova i milijardu njihovih korisnika ranjivim na napade preuzimanja naloga, upozorila je kompanija Salt Security.

Najnovije istraživanje kompanije Salt Security ukazalo je na nedostatke u verifikaciji pristupnog tokena u procesu prijavljivanja preko naloga na društvenim mrežama, koji je deo implementacije OAutha na ovim veb sajtovima.

OAuth, „jedan od najpopularnijih protokola i za autorizaciju i za autentifikaciju korisnika“, je poput digitalnog ključa koji omogućava veb sajtovima ili aplikacijama da pristupe određenim informacijama sa drugog servisa „jednim klikom“, bez potrebe za unošenjem lozinke. OAuth olakšava verifikaciju identiteta korisnika klikom na njihove naloge društvenih medija, kao što su Google ili Facebook.

Prijavljivanje sa Facebookom (Salt Labs)

Međutim, za ovu vrstu prijavljivanja, sajtovi moraju da verifikuju obezbeđeni token da bi odobrili pristup, a to je nešto što mnogi ne uspevaju. Tako su istraživači Salt Labsa mogli da ubace token sa drugog sajta kao verifikovani token i dobiju pristup korisničkim nalozima. Ova tehnika se zove „Pass-The-Token“ napad.

„Ranjivosti bi mogle da utiču na skoro milijardu korisničkih naloga na tri sajta [koje je testirao Salt Labs]“, upozoravaju istraživači.

Ranjivosti omogućavaju sajber kriminalcima da pristupe korisničkim nalozima na desetinama veb sajtova, što uključuje i informacije u vezi plaćanja i druge osetljive podatke. Hakeri bi takođe mogli da izvrše bilo koju radnju u ime korisnika, što bi za posledicu moglo imati krađu identiteta i finansijske prevare.

Više platformi je otklonilo ove nedostatke ali je hiljade veb sajtova i dalje podložno ovoj vrsti napada. Među platformama koje su rešile problem je Vidio, sa 100 miliona aktivnih korisnika mesečno, kojima platforma nudi niz sadržaja, uključujući filmove, TV emisije, sportske prenose i drugo. Istraživači kompanije Salt Labs otkrili su bezbednosne propuste prilikom prijavljivanja preko Facebooka na Vidio.

Problem su rešili i Bukalapak, koji ima više od 150 miliona korisnika mesečno, i Grammarly sa više od 30 miliona korisnika dnevno.

Foto: Kaitlyn Baker / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple zakrpio dve ranjivosti nultog dana koje se koriste u napadima

Apple zakrpio dve ranjivosti nultog dana koje se koriste u napadima

Apple je bio primoran da zakrpi još dve ranjivosti nultog dana, čime je njihov ukupan broj za godinu porastao na 20. Tehnološki gigant je rekao da ... Dalje

Istraživanje: Kada je reč o sajber bezbednosti godine su samo broj

Istraživanje: Kada je reč o sajber bezbednosti godine su samo broj

Kada je reč o sajber bezbednosti godine su izgleda samo broj. Ko daje prioritet bezbednosti na mreži? Ko preduzima najbolje mere kada se radi o priv... Dalje

Sutra se obeležava Međunarodni dan računarske bezbednosti

Sutra se obeležava Međunarodni dan računarske bezbednosti

30. novembra se obeležava Međunarodni dan računarske bezbednosti, događaj koji treba da nas podseti na važnost zaštite naših računara i život... Dalje

Hakeri napali slovenačke elektrane

Hakeri napali slovenačke elektrane

IT mreža Holdinga Slovenske elektrane (HSE), najvećeg slovenačkog proizvođača električne energije, koji je zaslužan za 60% domaće proizvodnje,... Dalje

Windows Hello autentifikacija se može zaobići na Microsoft, Dell i Lenovo laptopovima

Windows Hello autentifikacija se može zaobići na Microsoft, Dell i Lenovo laptopovima

Stručnjaci za hardversku bezbednost iz Blackwing Intelligencea otkrili su ranjivosti u sistemu za potvrdu identiteta otiskom prsta Windows Hello, pok... Dalje