Pratite nas preko RSS-aHiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima
Vesti, 26.10.2023, 11:00 AM
Nedostaci u mehanizmima za prijavu pomoću naloga na društvenim mrežama čine hiljade veb sajtova i milijardu njihovih korisnika ranjivim na napade preuzimanja naloga, upozorila je kompanija Salt Security.
Najnovije istraživanje kompanije Salt Security ukazalo je na nedostatke u verifikaciji pristupnog tokena u procesu prijavljivanja preko naloga na društvenim mrežama, koji je deo implementacije OAutha na ovim veb sajtovima.
OAuth, „jedan od najpopularnijih protokola i za autorizaciju i za autentifikaciju korisnika“, je poput digitalnog ključa koji omogućava veb sajtovima ili aplikacijama da pristupe određenim informacijama sa drugog servisa „jednim klikom“, bez potrebe za unošenjem lozinke. OAuth olakšava verifikaciju identiteta korisnika klikom na njihove naloge društvenih medija, kao što su Google ili Facebook.
Prijavljivanje sa Facebookom (Salt Labs)
Međutim, za ovu vrstu prijavljivanja, sajtovi moraju da verifikuju obezbeđeni token da bi odobrili pristup, a to je nešto što mnogi ne uspevaju. Tako su istraživači Salt Labsa mogli da ubace token sa drugog sajta kao verifikovani token i dobiju pristup korisničkim nalozima. Ova tehnika se zove „Pass-The-Token“ napad.
„Ranjivosti bi mogle da utiču na skoro milijardu korisničkih naloga na tri sajta [koje je testirao Salt Labs]“, upozoravaju istraživači.
Ranjivosti omogućavaju sajber kriminalcima da pristupe korisničkim nalozima na desetinama veb sajtova, što uključuje i informacije u vezi plaćanja i druge osetljive podatke. Hakeri bi takođe mogli da izvrše bilo koju radnju u ime korisnika, što bi za posledicu moglo imati krađu identiteta i finansijske prevare.
Više platformi je otklonilo ove nedostatke ali je hiljade veb sajtova i dalje podložno ovoj vrsti napada. Među platformama koje su rešile problem je Vidio, sa 100 miliona aktivnih korisnika mesečno, kojima platforma nudi niz sadržaja, uključujući filmove, TV emisije, sportske prenose i drugo. Istraživači kompanije Salt Labs otkrili su bezbednosne propuste prilikom prijavljivanja preko Facebooka na Vidio.
Problem su rešili i Bukalapak, koji ima više od 150 miliona korisnika mesečno, i Grammarly sa više od 30 miliona korisnika dnevno.
Foto: Kaitlyn Baker / Unsplash
Izdvojeno
Propust u ChatGPT-u omogućavao curenje razgovora korisnika
Istraživači iz Check Point Research otkrili su ranjivost u ChatGPT-ufchat koja je mogla omogućiti napadačima da izvuku osetljive podatke iz razgov... Dalje
Evropska komisija potvrdila sajber napad: hakeri tvrde da su ukrali 350 GB podataka
Hakerska grupa ShinyHunters objavila je da je kompromitovala sisteme Evropske komisije i došla do više od 350 GB podataka. Tvrdnja se prvo pojavila ... Dalje
WhatsApp za mlađe od 13: novi nalozi pod nadzorom roditelja
WhatsApp je predstavio novu funkciju dizajniranu posebno za decu mlađu od 13 godina, uvodeći naloge kojima upravljaju roditelji sa ciljem bezbednije... Dalje
ChatGPT kao terapeut: korisnici dele lične priče uprkos rizicima po privatnost
Ljudi sve češće koriste ChatGPT i generativnu veštačku inteligenciju za duboko lične teme — od emotivnog rasterećenja do traženja saveta... Dalje
Ugašena C2 infrastruktura botneta koji su zarazili preko tri miliona uređaja
Zajednička akcija vlasti iz SAD, Nemačke i Kanade rezultirala je gašenjem komandno-kontrolne (C2) infrastrukture koju su koristili botneti Aisuru, ... Dalje
Pratite nas
Nagrade
Prijatelji
