Hiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima
Vesti, 26.10.2023, 11:00 AM
Nedostaci u mehanizmima za prijavu pomoću naloga na društvenim mrežama čine hiljade veb sajtova i milijardu njihovih korisnika ranjivim na napade preuzimanja naloga, upozorila je kompanija Salt Security.
Najnovije istraživanje kompanije Salt Security ukazalo je na nedostatke u verifikaciji pristupnog tokena u procesu prijavljivanja preko naloga na društvenim mrežama, koji je deo implementacije OAutha na ovim veb sajtovima.
OAuth, „jedan od najpopularnijih protokola i za autorizaciju i za autentifikaciju korisnika“, je poput digitalnog ključa koji omogućava veb sajtovima ili aplikacijama da pristupe određenim informacijama sa drugog servisa „jednim klikom“, bez potrebe za unošenjem lozinke. OAuth olakšava verifikaciju identiteta korisnika klikom na njihove naloge društvenih medija, kao što su Google ili Facebook.

Prijavljivanje sa Facebookom (Salt Labs)
Međutim, za ovu vrstu prijavljivanja, sajtovi moraju da verifikuju obezbeđeni token da bi odobrili pristup, a to je nešto što mnogi ne uspevaju. Tako su istraživači Salt Labsa mogli da ubace token sa drugog sajta kao verifikovani token i dobiju pristup korisničkim nalozima. Ova tehnika se zove „Pass-The-Token“ napad.
„Ranjivosti bi mogle da utiču na skoro milijardu korisničkih naloga na tri sajta [koje je testirao Salt Labs]“, upozoravaju istraživači.
Ranjivosti omogućavaju sajber kriminalcima da pristupe korisničkim nalozima na desetinama veb sajtova, što uključuje i informacije u vezi plaćanja i druge osetljive podatke. Hakeri bi takođe mogli da izvrše bilo koju radnju u ime korisnika, što bi za posledicu moglo imati krađu identiteta i finansijske prevare.
Više platformi je otklonilo ove nedostatke ali je hiljade veb sajtova i dalje podložno ovoj vrsti napada. Među platformama koje su rešile problem je Vidio, sa 100 miliona aktivnih korisnika mesečno, kojima platforma nudi niz sadržaja, uključujući filmove, TV emisije, sportske prenose i drugo. Istraživači kompanije Salt Labs otkrili su bezbednosne propuste prilikom prijavljivanja preko Facebooka na Vidio.
Problem su rešili i Bukalapak, koji ima više od 150 miliona korisnika mesečno, i Grammarly sa više od 30 miliona korisnika dnevno.
Foto: Kaitlyn Baker / Unsplash
Izdvojeno
Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti
Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje
AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad
Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja
Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje
Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji
Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





