A Salt Security divulgou uma nova pesquisa de ameaças da Salt Labs, destacando falhas críticas de segurança no popular provedor de análise da web Hotjar e em uma renomada agência de notícias global, detectando um elevado risco para as empresas. O Hotjar é uma solução líder para equipes de produtos que desejam ir além das análises tradicionais da web e dos produtos, buscando entender seus usuários para entregar a eles uma melhor experiência.
A empresa atende a mais de um milhão de sites, incluindo marcas globais. Essas vulnerabilidades poderiam ter permitido a um invasor ter acesso ilimitado a conjuntos de dados confidenciais nesses serviços, afetando milhões de usuários e organizações em todo o mundo.
Essas descobertas da Salt Labs, divisão de pesquisa da Salt Security, não são exclusivas desses serviços e indicam um problema maior que provavelmente também está presente em ecossistemas semelhantes.
A ressurreição de um antigo problema de segurança
O problema de segurança identificado existe desde os primeiros dias da Internet. Desde então, ele foi analisado e mitigado em muitas camadas, empregando inúmeras técnicas, reduzindo seu risco geral de segurança a um nível mínimo. No entanto, o surgimento de novas tecnologias pode causar uma grande mudança no ecossistema como um todo, introduzindo novas oportunidades para os invasores aproveitarem falhas históricas (no caso o Cross-site scripting, comumente conhecido como XSS) e aumentarem significativamente o risco de segurança.
Pesquisas recentes da Salt-Labs demonstram exatamente esse ponto, principalmente ao combinar XSS e a tecnologia recentemente popularizada conhecida como OAuth. O OAuth permite que os usuários façam login em sites usando suas contas de mídia social, com um clique, em vez de empregar o registro através dos tradicionais “usuário” e “senha”. Ao combinar os recursos do OAuth com a antiga vulnerabilidade XSS, os pesquisadores da Salt-Labs provaram com sucesso a capacidade de assumir qualquer conta no Hotjar e nos serviços online da principal fonte de notícias.
Para explorar essa vulnerabilidade, um invasor pode simplesmente enviar à vítima um link válido para o serviço que deseja atacar. Este link pode ser encaminhado com qualquer canal (e-mail, mensagem de texto, mídia social ou postado em um fórum online, entre outros). Como o link é totalmente legítimo, a vítima praticamente não terá como determinar se faz parte de um ataque maior sem uma análise técnica profunda. Depois que a vítima clica no link, o invasor pode obter controle total da conta, permitindo que ele execute qualquer ação e obtenha acesso a todos os dados armazenados.
Devido à popularidade do OAuth e à existência generalizada de problemas de XSS, este risco provavelmente existe em vários outros serviços da Web, evidenciando os problemas que acompanham o uso agrupado das APIs.
