OAuth и XSS: смертельный коктейль для безопасности веб-гигантов
Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации.
Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают, что обнаруженные уязвимости подвергают риску миллионы пользователей по всему миру.
Hotjar — инструмент, дополняющий Google Analytics, записывает активность пользователей для анализа их поведения. Им пользуются более миллиона веб-сайтов, включая такие известные бренды, как Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile и Nintendo. Учитывая специфику работы Hotjar, сервис собирает огромные объемы личной и конфиденциальной информации: имена, электронные адреса, домашние адреса, личные сообщения, банковские данные и, в некоторых случаях, даже учетные данные клиентов.
Исследователи Salt Labs выяснили, что злоумышленники могут эксплуатировать комбинацию уязвимостей в стандарте аутентификации OAuth и межсайтового скриптинга (XSS) для захвата учетных записей. OAuth — это современный стандарт, который все чаще применяется для беспрепятственной аутентификации между сайтами, например, когда вы видите опцию «войти через Facebook» или «войти через Google».
XSS считается одной из самых распространенных и давних уязвимостей веб-приложений. Она позволяет злоумышленнику внедрить вредоносный код в легитимную веб-страницу, чтобы выполнять скрипты в браузере посетителя сайта для кражи данных и других злонамеренных действий.
Специалисты продемонстрировали, как можно манипулировать процессом социальной авторизации Hotjar, который перенаправляет пользователя на Google для получения секретного токена через OAuth. Этот токен представляет собой URL, содержащий специальный код, который может быть прочитан JavaScript-кодом, что создает уязвимость XSS.
Схожую проблему обнаружили и на сайте Business Insider — популярном новостном портале с миллионами читателей по всему миру. В этом случае уязвимость была выявлена в мобильной версии сайта, где процесс аутентификации также оказался подвержен атакам XSS.
Янив Балмас, вице-президент по исследованиям в Salt, подчеркивает, что обнаруженные уязвимости, вероятно, распространены гораздо шире и могут затрагивать множество других онлайн-сервисов.
Salt Labs оперативно уведомила об обнаруженных проблемах компании Hotjar и Business Insider. Уязвимости были устранены в течение нескольких дней после сообщения.
Уязвимость на сайте Business Insider была обнаружена 20 марта, и компания устранила проблему к 30 марта. Недостаток в Hotjar был выявлен 17 апреля и исправлен уже через два дня после уведомления.
Эксперты призывают администраторов веб-сайтов проявлять особую бдительность при внедрении OAuth, чтобы избежать подобных сценариев атак. Балмас советует: «При внедрении любой новой технологии необходимо учитывать множество факторов, включая, разумеется, безопасность. Надежная реализация, учитывающая все возможные варианты, должна быть защищенной и не позволит злоумышленнику воспользоваться этим вектором атаки».