Sosyal oturum açma ve OAuth (Açık Kimlik Doğrulama) uygulamalarındaki kritik API güvenlik kusurları Vidio, Grammarly ve Bukalapak gibi yüksek profilli şirketleri etkiledi.
- Salt Security’nin Salt Labs araştırma ekibi, üç popüler web sitesinin sosyal giriş uygulamalarındaki güvenlik açıklarını tespit etti.
- Sosyal oturum açmanın neredeyse tüm büyük ve büyük olmayan web sitelerinde bulunan standart bir özellik olduğu göz önüne alındığında, bu güvenlik açıkları bir milyardan fazla kullanıcı hesabının hesap ele geçirilmesine ve veri sızıntısına maruz kalmasına neden olabilir.
- Salt Labs’ın araştırdığı hedeflerin yüzde sekseni, sosyal giriş özellikleriyle ilgili güvenlik kusurları içeriyordu.
- Araştırmacılar küçük bir dizi etkilenen hedefi ortaya çıkardı.
- Bu keşif, sosyal oturum açma işleviyle ilişkili riskleri vurgulamaktadır.
Önde gelen API güvenlik firması Salt Security’nin Salt Labs araştırma ekibi, kritik API güvenlik kusurları Vidio, Grammarly ve Bukalapak dahil olmak üzere birçok yüksek profilli çevrimiçi firmanın sosyal oturum açma ve OAuth (Açık Kimlik Doğrulama) uygulamalarında.
Soruşturma, bir tehdit aktörünün Token Geçişi Saldırısı yoluyla güvenlik açıklarından yararlanabileceğini, bir kullanıcının düzinelerce web sitesindeki hesaplarına yetkisiz erişim sağlayabileceğini ve kredi kartlarına, banka hesaplarına ve diğer hassas verilere erişebileceğini ortaya çıkardı.
Bu araştırma, ekibin OAuth ele geçirme serisinin üçüncü ve son bölümüdür. Daha önce Salt Labs araştırmacıları güvenlik açıklarını tespit etmişti. Fuar Ve Booking.com.
Bilginiz olsun, OAuth yaygın olarak kullanılan bir kimlik doğrulama yöntemidir. Birçok web sitesi ve web hizmeti, kullanıcı dostu tek tıklamayla oturum açma sürecini etkinleştirmek için bunu kullanır. Ayrıca OAuth uygulaması sayesinde kullanıcılar, yeni bir giriş kimliği ve şifre oluşturmak yerine Facebook veya Google gibi sosyal medya hesaplarına giriş yaparak bir web sitesine kaydolabilirler.
Güvenlik açıkları, sosyal oturum açma sürecinin erişim belirteci doğrulama adımında tespit edildi. Web sitelerinde OAuth uygulamasının çok önemli bir bileşenidir. Sorun, süreçteki hatalı token doğrulaması nedeniyle ortaya çıktı ve bu durum, rakiplerin yetkisiz erişim elde etmesine olanak sağladı.
İçinde Blog yazısıSalt Labs Güvenlik Araştırmacısı Aviad Carmel, araştırma ekibinin, kullanıcı hesaplarına erişim sağlamak için başka bir web sitesinden bir token yerleştirmeyi içeren Token Geçişi Saldırısı yoluyla bu kusurdan yararlanabileceğini yazdı.
Vidio.com’daki Güvenlik Açığı Etkisi
Vidio web sitesinde araştırmacılar, Facebook üzerinden giriş yaparken güvenlik açıklarını keşfettiler. Web sitesi (Vidio.com), belirteci veya OAuth’un kendisini doğrulamadı; bu, başka bir uygulama için oluşturulan bir erişim belirtecinin eklenmesi için API çağrılarının manipülasyonuna izin veren göze çarpan bir kusurdur. Bu alternatif token-AppID kombinasyonu, araştırmacıların web sitesinde bir kullanıcıyı taklit etmesine ve binlerce hesabı devralma fırsatına sahip olmasına olanak tanıdı.
Bukalapak.com’daki Güvenlik Açığı Etkisi
Endonezya’nın en büyük e-ticaret platformlarından biri olan Bukalapak’ın web sitesi de kullanıcılar sosyal girişle kaydolduğunda erişim jetonunu doğrulayamadı. Salt Labs ekibi başka bir web sitesinden bir jeton yerleştirdi ve web sitesinden kullanıcının kimlik bilgilerine erişerek hesabın tam kontrolünü ele geçirdi.
şunu belirtmekte yarar var Mayıs 2020’de, 13 milyon Bukalapak kullanıcı hesabına ait kullanıcı verilerini satan bir bilgisayar korsanı keşfedildi.
Güvenlik Açığının Dilbilgisi Üzerindeki Etkisi
Araştırmacılar, sitenin kod gönderme terminolojisini öğrenmek için yapay zeka destekli yazma aracı Grammarly.com web sitesini inceledi. Daha sonra, farklı bir web sitesindeki kullanıcıları doğrulamak için kullanılan kodu eklemek için API değişimini manipüle edebilirler ve kullanıcı hesabı kimlik bilgilerini başarıyla elde edip hesabı devralabilirler.
Koordineli açıklama uygulamasının ardından Salt Labs araştırmacıları üç siteyi de bilgilendirdi ve sorunlar artık giderildi. Güvenlik açıklarının, etkilenen üç siteyle ilişkili en az bir milyar hesabı etkilemiş olabileceğine inanıyorlar.
Her ne kadar kusurlar giderilmiş olsa da, hassas giriş bilgilerini açığa çıkarmış ve saldırganların çok yönlü saldırılar başlatmasına olanak vermiş olabilir. Bu şok edici bir keşif çünkü binlerce web sitesi sosyal oturum açma işlevini kullanıyor ve dünya çapında milyarlarca kullanıcı kimlik hırsızlığı ve mali dolandırıcılık gibi tehditlerle karşı karşıya kalabilir.
Sosyal Giriş hemen hemen her büyük (ve ana olmayan) web hizmetinde uygulanan çok yaygın bir özelliktir. Hedeflerimizin yaklaşık %80’i sosyal giriş işlevselliğiyle ilgili bir tür güvenlik sorununu içeriyordu. Etki şu ki, başarılı bir şekilde bunu başarabildik. 1 milyardan fazla hesap Bu araştırmada belirlenenlerin yanı sıra daha birçok hedef de dahil olmak üzere tüm hedefler genelinde.
Yaniv Balmas – Salt Security Araştırma Başkan Yardımcısı
SecTor’da Tartışma
Salt Security’den Aviad Carmel ve Yaniv Balmas bir konuşma oturumu başlıklı: Uh-OAuth! – OAuth Uygulamalarının Kırılması (ve Düzeltilmesi)” – 25 Ekim Çarşamba, 16:00-17:00, Toplantı Odası 718A.
Bilginize, SecTor yer altı tehditlerine ve kurumsal savunmalara odaklanan bir Black Hat konferansıdır. Her yıl Kanada’nın Toronto kentinde düzenlenmektedir. Konferans, yüksek kaliteli konuşmacıları ve katılımcılarıyla tanınıyor ve güvenlik tehditleri ve savunmalarına ilişkin en son bilgilerle ilgilenen herkesin mutlaka katılması gereken bir etkinlik. SecTor 2023, 23-26 Ekim 2023 tarihlerinde Metro Toronto Kongre Merkezi’nde gerçekleştirilecek.
İLGİLİ MAKALELER
- 12 Yıllık Windows Defender açığı 1 milyar cihazı riske attı
- Siber güvenlik firması çevrimiçi olarak 5 milyar veri ihlali kaydını açığa çıkardı
- DreamHost barındırma şirketi neredeyse bir milyar hassas kaydı açığa çıkardı
- Google Chrome’daki Kimlik Bilgisi Çalma Kusuru 2,5 Milyar Kullanıcıyı Etkiledi
- Çevrimiçi ticaret komisyoncusu FBS, 16 milyar kayıt içeren 20 TB veriyi açığa çıkarıyor
- Brezilyalı pazar entegratörü Hariexpress 1,75 milyar kaydı ifşa etti