A Salt Security lançou hoje uma nova pesquisa de ameaças do Salt Labs destacando vulnerabilidades de segurança de API descobertas nas implementações de login social e autenticação aberta (OAuth) de várias empresas on-line, incluindo Grammarly, Vidio e Bukalapak. As falhas, que já foram corrigidas, poderiam levar ao vazamento de credenciais permitido a tomada total da conta (ATO).
O Salt Labs também relatou que 1000 outros sites que usam mecanismos de login social provavelmente são vulneráveis ao mesmo tipo de ataque, o que coloca em risco bilhões de indivíduos em todo o mundo. Essas descobertas marcam o terceiro e último relatório de pesquisa da série de sequestros OAuth do Salt Labs, após vulnerabilidades descobertas em Booking.com e Expo no início deste ano.
Esta última pesquisa identificou falhas na etapa de verificação do token de acesso do processo de login social, parte da implementação do OAuth nesses sites. As vulnerabilidades identificadas podem permitir que os criminosos virtuais obtenham completo ingresso nas contas de um usuário em dezenas de sites, potencialmente permitindo acessar contas bancárias, detalhes de cartão de crédito e outros dados confidenciais . Mais ainda, as falhas têm o potencial de permitir que agentes mal intencionados executem qualquer ação em nome desse usuário, podendo levar ao roubo de identidade e à fraude financeira.
Escolha de muitos sites e serviços da web, o OAuth permite um login com apenas “um clique”, garantindo acesso a partir de suas contas de mídia social, como Google ou Facebook, para verificar a identidade e permitir assim o registro em um site, em vez de configurar uma combinação exclusiva de nome de usuário/senha para acesso.
Para esse tipo de login, o OAuth precisa de um token verificado para aprovar o acesso, e todos os três sites não conseguiram verificar o token. Como resultado, os pesquisadores do Salt Labs conseguiram inserir um token de outro site como se fosse o autêntico, obtendo assim acesso às contas de usuário – uma técnica chamada “Pass-The-Token Attack”.
As falhas foram detectadas em três plataformas: Vídio, streaming de vídeo on-line com 100 milhões de usuários ativos mensais, oferece uma variedade de conteúdo, incluindo filmes, programas de TV, esportes ao vivo e produções originais; Bukalapak, uma das maiores no comércio eletrônico da Indonésia, com mais de 150 milhões de usuários mensais; e Grammarly.com, uma ferramenta de escrita alimentada por IA que auxilia os usuários a melhorar seus textos, oferecendo gramática, pontuação, verificações ortográficas e outras dicas de escrita para mais de 30 milhões de usuários diários.
“O OAuth é uma das tecnologias adotadas mais rapidamente no domínio da segurança das aplicações e rapidamente se tornou um dos protocolos mais populares para autorização e autenticação do usuário”, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security.
“A pesquisa do Salt Labs ilustra os impactos potenciais que os problemas de implementação do OAuth podem ter em uma empresa e em seus clientes. Esperamos que esta série tenha ajudado a educar o setor em geral sobre a natureza de possíveis erros de implementação do OAuth e como fechar essas lacunas de proteção baseadas em API para defender melhor os dados e usar o OAuth com mais segurança.”
O Relatório sobre o Estado da Segurança de API do Salt Labs do Primeiro Trimestre 2023 mostrou um aumento de 400% de invasores únicos nos últimos seis meses, com 43% dos entrevistados afirmando ter a tomada de conta (ATO) como uma alta preocupação.
