行業新聞與博客

安全研究人員發現了網絡分析提供商 Hotjar 和全球新聞機構 Business Insider 中的嚴重漏洞。 

Salt Labs 的研究結果表明，企業面臨的風險增加。Hotjar 與 Google Analytics 一起使用，收集了大量個人和敏感數據，包括用户屏幕活動、PII、私人消息，甚至在某些情況下包括憑證。 

對主要品牌的潛在影響

這些漏洞為超過一百萬個網站提供服務，其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌，這些漏洞可能使攻擊者能夠無限制地訪問敏感數據，從而影響全球數百萬用户和組織。

這些漏洞並不侷限於 Hotjar 和 Business Insider，而是表明類似生態系統中存在更廣泛的問題。今天發佈的這項研究強調了跨站點腳本 (XSS) 漏洞的持續存在，這是自互聯網早期以來一直存在的問題。儘管隨着時間的推移有所緩解，但新技術的整合重新引入了這些歷史缺陷，大大增加了安全風險。

將 XSS 與 OAuth 結合起來，以應對嚴重違規行為

Salt Labs 的研究重點指出，XSS 與 OAuth（一種流行的授權和身份驗證協議）相結合，可能導致嚴重漏洞。OAuth 被數千種網絡服務廣泛使用，尤其是那些提供社交登錄功能的網絡服務，這些服務往往在人們不知情的情況下使用。通過利用這些漏洞，研究人員展示了接管 Hotjar 和 Business Insider 帳户的能力。

Salt Security 研究副總裁 Yaniv Balmas 解釋道：“這類攻擊的風險自然取決於目標的類型、它們存儲的信息、它們提供的功能等。”

“一般來説，成功利用此攻擊媒介的攻擊者將獲得與受害者相同的權限和功能，因此，風險將與普通系統用户實際可以做的事情相同。”

漏洞利用方法

為了利用此漏洞，攻擊者通常會通過電郵、短信或社交媒體發送看似合法的鏈接，誘騙受害者點擊。一旦點擊，攻擊者便可完全控制該帳户，使他們能夠執行任何操作並訪問所有存儲的數據。

此問題並非僅存在於所分析的兩個目標中。鑑於 OAuth 的流行度和 XSS 問題的普遍性，許多其他 Web 服務也可能存在漏洞。這凸顯了捆綁 API 使用相關的固有風險。 

“一如既往，在實施任何新技術時，都需要考慮很多事情，當然包括安全性，”Balmas 補充道。“考慮到所有可能選項的穩固實施應該是安全的，不會讓攻擊者有機會濫用這種攻擊媒介。”

幾個月前，Salt Security 披露了 AI 工具 ChatGPT 中的嚴重 OAuth 漏洞，隨後又發佈了新數據。