Експерти по киберсигурност разкриха потенциален начин, по който хакери могат да превземат потребителски акаунти в популярни уебсайтове, обслужващи стотици милиони потребители. С помощта на откраднатите акаунти хакерите могат да извършват всякакви кибератаки - от социално инженерство, през банкови измами до фишинг и др.
Това твърдят изследователи в областта на киберсигурността от Salt Security, които са открили уязвимост в сигурността на API при реализацията на социалното влизане и отворената автентификация (OAuth).
Социалното логване позволява на потребителите да създават и да влизат в акаунти в различни платформи, като използват данните си за достъп в социалните мрежи. Потребителите могат да изберат да влязат в профила си в Google, Facebook, Twitter, Apple и други - всичко това с едно кликване.
Самият недостатък е открит в етапа на проверка на токена за достъп. При влизане в системата OAuth се нуждае от един такъв токен и ако сайтът не успее да го провери, хакерите могат да вмъкнат друг и да получат достъп до профила. Изследователите наричат тази техника Pass-The-Token-Attack.
Според доклада три големи уебсайта са били уязвими към атаката: Grammarly, Vidio и Bukalapak.
Последният е индонезийска платформа за електронна търговия с повече от 150 милиона активни месечни потребители. Vidio е онлайн платформа за видео стрийминг със 100 млн. активни потребители месечно и предлага широк спектър от съдържание като филми, телевизионни предавания, спортни предавания на живо и оригинални продукции. Grammarly е програма за проверка на граматиката и правописа с повече от 30 милиона активни потребители дневно. Въпреки че тези цифри може да звучат изключително големи, изследователите предупреждават, че вероятно хиляди други уебсайтове използват същите механизми за социално вписване и като такива са уязвими по същия начин. Изводът е, че стотици милиони, ако не и милиарди потребителски акаунти, са изложени на риск.
След като откри дефекта, Salt се свърза с тези три уебсайта, като и трите отстраниха уязвимостта преди публикуването на съобщението.
Снимка: Unsplash
Виж още: 5 задължителни умения, ако искаш да овладееш изкуствения интелект