A Salt Security divulgou hoje (29) uma nova pesquisa de ameaças da Salt Labs destacando falhas críticas de segurança no popular provedor de análise da web Hotjar e em uma renomada agência de notícias global, detectando um elevado risco para as empresas. O Hotjar é uma solução líder para equipes de produtos que desejam ir além das análises tradicionais da web e dos produtos, buscando entender seus usuários para entregar a eles uma melhor experiência. A empresa atende a mais de um milhão de sites, incluindo marcas globais. Essas vulnerabilidades poderiam ter permitido a um invasor ter acesso ilimitado a conjuntos de dados confidenciais nesses serviços, afetando milhões de usuários e organizações em todo o mundo.
Essas descobertas da Salt Labs, divisão de pesquisa da Salt Security, não são exclusivas desses serviços e indicam um problema maior que provavelmente também está presente em ecossistemas semelhantes.
A ressurreição de um antigo problema de segurança
O problema de segurança identificado existe desde os primeiros dias da Internet. Desde então, ele foi analisado e mitigado em muitas camadas, empregando inúmeras técnicas, reduzindo seu risco geral de segurança a um nível mínimo. No entanto, o surgimento de novas tecnologias pode causar uma grande mudança no ecossistema como um todo, introduzindo novas oportunidades para os invasores aproveitarem falhas históricas (no caso o Cross-site scripting, comumente conhecido como XSS) e aumentarem significativamente o risco de segurança.
Pesquisas recentes da Salt-Labs demonstram exatamente esse ponto, principalmente ao combinar XSS e a tecnologia recentemente popularizada conhecida como OAuth. O OAuth permite que os usuários façam login em sites usando suas contas de mídia social, com um clique, em vez de empregar o registro através dos tradicionais “usuário” e “senha”. Ao combinar os recursos do OAuth com a antiga vulnerabilidade XSS, os pesquisadores da Salt-Labs provaram com sucesso a capacidade de assumir qualquer conta no Hotjar e nos serviços online da principal fonte de notícias.
Para explorar essa vulnerabilidade, um invasor pode simplesmente enviar à vítima um link válido para o serviço que deseja atacar. Este link pode ser encaminhado através de qualquer canal (e-mail, mensagem de texto, mídia social ou postado em um fórum online, entre outros). Como o link é totalmente legítimo, a vítima praticamente não terá como determinar se faz parte de um ataque maior sem uma análise técnica profunda. Depois que a vítima clica no link, o invasor pode obter controle total da conta, permitindo que ele execute qualquer ação e obtenha acesso a todos os dados armazenados.
Um problema generalizado
Devido à popularidade do OAuth e à existência generalizada de problemas de XSS, este risco provavelmente existe em vários outros serviços da Web, evidenciando os problemas que acompanham o uso agrupado das APIs. A Salt em seu blog disponibilizou para as equipes de segurança os detalhes técnicos e as explicações que permitem entender melhor a exposição potencial ao risco de seus serviços online.
A equipe da Salt-Labs também lançou uma ferramenta exclusiva para ajudar as empresas a avaliar seus próprios riscos de vulnerabilidades semelhantes com o objetivo de reduzir seu perfil de risco. Até agora, essa ferramenta era usada internamente pela Salt-Labs para identificar riscos e vulnerabilidades. Agora, os proprietários de um domínio/site interessados em avaliar seu risco podem concluir gratuitamente sua verificação acessando https://salt.security/labs/scan
Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
KAREN KORNILOVICZ DE TOLEDO LARA
karen@mlpcom.com.br