Bu son araştırma, bu web sitelerindeki OAuth uygulamasının bir parçası olan sosyal oturum açma sürecinin erişim jetonu doğrulama adımındaki kusurları tespit etti. Güvenlik açıkları bu üç sitedeki yaklaşık bir milyar kullanıcı hesabını etkilemiş olabilir.
Belirlenen güvenlik açıkları, siber suçluların bir kullanıcının düzinelerce web sitesindeki hesaplarına tam erişim elde etmesine ve potansiyel olarak hassas verilere erişim sağlamasına olanak tanıyabilir. Ayrıca siber suçlular, söz konusu kullanıcı adına kimlik hırsızlığına ve mali dolandırıcılığa yol açabilecek herhangi bir eylem gerçekleştirmiş olabilir.
Birçok web sitesi ve web hizmetinde tercih edilen OAuth, benzersiz bir kullanıcı adı/şifre oluşturmak yerine kullanıcıların Google veya Facebook gibi sosyal medya hesaplarına dokunarak kimliklerini doğrulamalarına ve bir siteye kaydolmalarına olanak tanıyan “tek tıklamayla” oturum açma olanağı sağlar. erişim için kombinasyon. Bu tür girişlerde OAuth’un erişimi onaylaması için doğrulanmış bir jetona ihtiyacı var ve üç site de jetonu doğrulayamadı. Sonuç olarak, Salt Labs araştırmacıları, “Tokenı Geçirme Saldırısı” adı verilen bir teknik kullanarak, başka bir siteden doğrulanmış bir token olarak bir token eklemeyi ve kullanıcı hesaplarına erişmeyi başardılar.
Salt Security Araştırma Başkan Yardımcısı Yaniv Balmas, “OAuth, AppSec alanında en hızlı benimsenen teknolojilerden biri ve hem kullanıcı yetkilendirme hem de kimlik doğrulama açısından hızla en popüler protokollerden biri haline geldi” dedi. “Salt Labs araştırması, OAuth uygulama sorunlarının bir işletme ve müşterileri üzerindeki potansiyel etkilerini gösteriyor. Bu serinin, olası OAuth uygulama hatalarının doğası ve verileri daha iyi korumak ve OAuth’u daha güvenli kullanmak için bu API tabanlı güvenlik açıklarının nasıl kapatılacağı konusunda daha geniş bir sektöre eğitim vermesine yardımcı olduğunu umuyoruz.”
Bukalapak
Bukalapak, aylık 150 milyondan fazla kullanıcısı ile Endonezya’nın en büyük ve en önde gelen e-Ticaret platformlarından biridir.
Bukalapak, kullanıcılar sosyal giriş kullanarak kaydolduğunda erişim belirtecini doğrulamadı. Bu nedenle Salt Labs ekibi, başka bir web sitesinden bir jeton ekleyerek bukalapak.com’daki bir kullanıcının kimlik bilgilerine erişebilir ve o kullanıcının hesabını tamamen ele geçirebilir.
Gördüm
Aylık 100 milyon aktif kullanıcıya sahip bir çevrimiçi video yayın platformu olan Vidio, filmler, TV şovları, canlı sporlar ve orijinal yapımlar dahil olmak üzere çeşitli içerikler sunuyor.
Salt Labs araştırmacıları, Facebook üzerinden giriş yaparken OAuth güvenlik açıklarını keşfetti. Vidio.com sitesi, OAuth’un kendisini değil, web sitesi geliştiricilerinin yapması gereken belirteci doğrulamadığından, bir saldırgan, farklı bir uygulama için oluşturulan erişim belirtecini eklemek üzere API çağrılarını değiştirebilir. Bu alternatif token/AppID kombinasyonu, Salt Labs araştırma ekibinin Vidio sitesinde bir kullanıcının kimliğine bürünmesine olanak tanıdı ve bu da binlerce hesapta büyük miktarda hesabın ele geçirilmesine olanak tanıdı.
Dilbilgisi açısından
Grammarly.com, günlük 30 milyondan fazla kullanıcıya dil bilgisi, noktalama işaretleri, yazım denetimleri ve diğer yazma ipuçları sunarak kullanıcıların yazılarını geliştirmelerine yardımcı olan, yapay zeka destekli bir yazma aracıdır.
Salt Labs ekibi, API çağrıları üzerinde keşif yaparak ve Grammarly sitesinin kodu göndermek için kullandığı terminolojiyi öğrenerek, farklı bir sitedeki kullanıcıları doğrulamak için kullanılan kodu eklemek ve tekrar kimlik bilgilerini almak için API alışverişini manipüle edebildi. Bir kullanıcının hesabını açın ve hesabın tamamını devralın.
En önemlisi, Salt Labs araştırmacılarının her üç sitedeki güvenlik açıklarını keşfetmesinin ardından koordineli ifşa uygulamalarını takip etmesi ve tüm sorunların düzeltilmesi.
