Siber Güvenlik Uzmanları, Önde Gelen Web Analitiği Platformu Hotjar’da Kritik Güvenlik Açıklarını Ortaya Çıkardı; Bu Açıklar, Küresel Markalara ve İşletmelere Ait Milyonlarca Kullanıcının Hassas Verilerini Açığa Çıkarma Potansiyeline Sahip.
Popüler web analitiği sağlayıcısında yeni keşfedilen bir güvenlik açığı HotjarMicrosoft, Adobe, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile ve Nintendo gibi milyonlarca web sitesi tarafından kullanılan, saldırganlara hassas kullanıcı verilerine erişim sağlamış olabilir. Salt Security’nin araştırma kolu Salt Labs, açığı ortaya çıkardı ve o zamandan beri sorunu gidermek için Hotjar ile birlikte çalıştı.
Bu güvenlik açığı, güncel olmayan güvenlik sorunu olan Cross-Site Scripting’in (XSS), ve yaygın olarak kullanılan kimlik doğrulama protokolü OAuth. XSS uzun zamandır yönetilebilir bir tehdit olarak kabul edilirken, Salt Labs araştırmacıları kullanıcı hesaplarını ele geçirmek için OAuth ile nasıl birleştirilebileceğini gösterdi.
Bu araştırma, görünüşte güncelliğini yitirmiş güvenlik açıklarının bile gelişen teknoloji ortamında önemli bir risk oluşturabileceğini vurgulamaktadır. XSS ve OAuth Milyonlarca kullanıcıyı etkileyebilecek güçlü bir saldırı vektörü oluşturuldu.
Salt Security’ye göre rapor Pazartesi günü yayınlanmadan önce Hackread.com ile paylaşılan saldırı yöntemi aldatıcı derecede basit. Bir kullanıcı, muhtemelen e-posta veya sosyal medya aracılığıyla meşru görünen bir bağlantı alır. Bağlantıya tıklamak, saldırgana farkında olmadan kullanıcının hesabının tam kontrolünü verir ve bu da onlara depolanan tüm verilere erişim sağlar.
Hotjar kullanıcılarına yönelik acil tehdit ele alınmış olsa da Salt Labs, bu güvenlik açığının muhtemelen OAuth kullanan diğer web hizmetlerinde de mevcut olduğu konusunda uyarıyor. Hem OAuth’un yaygın kullanımı hem de gizli XSS güvenlik açıkları potansiyeli endişe verici bir güvenlik ortamı yaratıyor.
Bu sadece bir Hotjar sorunu değil; tüm sektör için bir uyarı niteliğinde. Şirketlerin güvenlik önlemlerini proaktif bir şekilde değerlendirmeleri ve bu tür gelişen tehditlere karşı yeterli şekilde korunduklarından emin olmaları gerekiyor.
Salt Labs bir ücretsiz araç web sitesi sahiplerinin bu tür saldırılara karşı kendi güvenliklerini değerlendirmeleri için. Ayrıca kullanıcıları, güvenilir kaynaklardan geliyor gibi görünenler de dahil olmak üzere bağlantılara tıkladıklarında dikkatli olmaları konusunda uyarıyorlar.
Bu son keşif Salt Security’nin OAuth güvenlik açıklarının önceki bulguları Popüler AI aracı ChatGPT’de, günümüzün birbirine bağlı dünyasında API güvenliğinin önemini daha da vurgulamaktadır. Çevrimiçi hizmetlere bağımlılık arttıkça, kullanıcı verilerini korumak ve güveni sürdürmek için agresif güvenlik önlemleri kritik öneme sahiptir.
İLGİLİ KONULAR
- ABD Web Sitelerinin %68’i Bot Saldırılarına Maruz Kalıyor
- LiteSpeed Cache Eklentisi XSS Açığı 1,8 Milyon WordPress Sitesini Etkiliyor
- Polyfill Kütüphanesi 100.000 Web Sitesini Etkileyen Kötü Amaçlı Yazılımla Dolduruldu
- SMS Dolandırıcılıklarında Kötü Amaçlı Web Sitesi Yönlendirmeleri İçin Kullanılan Bulut Hizmetleri
- Önde Gelen Web Sitelerindeki Sosyal Giriş Kusurları Milyarlarca Kullanıcı Hesabını Riske Attı