Hiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima
Vesti, 26.10.2023, 11:00 AM

Nedostaci u mehanizmima za prijavu pomoću naloga na društvenim mrežama čine hiljade veb sajtova i milijardu njihovih korisnika ranjivim na napade preuzimanja naloga, upozorila je kompanija Salt Security.
Najnovije istraživanje kompanije Salt Security ukazalo je na nedostatke u verifikaciji pristupnog tokena u procesu prijavljivanja preko naloga na društvenim mrežama, koji je deo implementacije OAutha na ovim veb sajtovima.
OAuth, „jedan od najpopularnijih protokola i za autorizaciju i za autentifikaciju korisnika“, je poput digitalnog ključa koji omogućava veb sajtovima ili aplikacijama da pristupe određenim informacijama sa drugog servisa „jednim klikom“, bez potrebe za unošenjem lozinke. OAuth olakšava verifikaciju identiteta korisnika klikom na njihove naloge društvenih medija, kao što su Google ili Facebook.
Prijavljivanje sa Facebookom (Salt Labs)
Međutim, za ovu vrstu prijavljivanja, sajtovi moraju da verifikuju obezbeđeni token da bi odobrili pristup, a to je nešto što mnogi ne uspevaju. Tako su istraživači Salt Labsa mogli da ubace token sa drugog sajta kao verifikovani token i dobiju pristup korisničkim nalozima. Ova tehnika se zove „Pass-The-Token“ napad.
„Ranjivosti bi mogle da utiču na skoro milijardu korisničkih naloga na tri sajta [koje je testirao Salt Labs]“, upozoravaju istraživači.
Ranjivosti omogućavaju sajber kriminalcima da pristupe korisničkim nalozima na desetinama veb sajtova, što uključuje i informacije u vezi plaćanja i druge osetljive podatke. Hakeri bi takođe mogli da izvrše bilo koju radnju u ime korisnika, što bi za posledicu moglo imati krađu identiteta i finansijske prevare.
Više platformi je otklonilo ove nedostatke ali je hiljade veb sajtova i dalje podložno ovoj vrsti napada. Među platformama koje su rešile problem je Vidio, sa 100 miliona aktivnih korisnika mesečno, kojima platforma nudi niz sadržaja, uključujući filmove, TV emisije, sportske prenose i drugo. Istraživači kompanije Salt Labs otkrili su bezbednosne propuste prilikom prijavljivanja preko Facebooka na Vidio.
Problem su rešili i Bukalapak, koji ima više od 150 miliona korisnika mesečno, i Grammarly sa više od 30 miliona korisnika dnevno.
Foto: Kaitlyn Baker / Unsplash

Izdvojeno
TikTok ponovo pod istragom zbog prenosa podataka korisnika na servere u Kini
.jpg)
Irska Komisija za zaštitu podataka (DPC) pokrenula je novu istragu protiv TikTok-a zbog sumnje da se podaci evropskih korisnika i dalje prebacuju na ... Dalje
Koliko nas zapravo Google prati čak i kad mislimo da ne može?

Koliko nas zapravo Google prati čak i kad mislimo da ne može? Nova studija SafetyDetectives otkriva koliko je Google zapravo svuda oko nas na intern... Dalje
U Chrome Web prodavnici otkrivene opasne ekstenzije, ugroženo 1,7 miliona korisnika

Istraživači iz Koi Security otkrili su dvanaest ekstenzija sa ukupno 1,7 miliona preuzimanja, koje mogu da prate aktivnost korisnika, kradu podatke ... Dalje
Hunters International: Kraj ransomware bande ili početak nove prevare?
.jpg)
Ransomware grupa Hunters International tvrdi da je stavila tačku na svoje delovanje i da će svim svojim žrtvama ponuditi besplatni softver za deši... Dalje
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
Pratite nas
Nagrade