行業新聞與博客
Hotjar、Business Insider 漏洞暴露 OAuth 數據風險
安全研究人員發現了網絡分析提供商 Hotjar 和全球新聞機構 Business Insider 中的嚴重漏洞。
Salt Labs 的研究結果表明,企業面臨的風險增加。Hotjar 與 Google Analytics 一起使用,收集了大量個人和敏感數據,包括用户屏幕活動、PII、私人消息,甚至在某些情況下包括憑證。
對主要品牌的潛在影響
這些漏洞為超過一百萬個網站提供服務,其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌,這些漏洞可能使攻擊者能夠無限制地訪問敏感數據,從而影響全球數百萬用户和組織。
這些漏洞並不侷限於 Hotjar 和 Business Insider,而是表明類似生態系統中存在更廣泛的問題。今天發佈的這項研究強調了跨站點腳本 (XSS) 漏洞的持續存在,這是自互聯網早期以來一直存在的問題。儘管隨着時間的推移有所緩解,但新技術的整合重新引入了這些歷史缺陷,大大增加了安全風險。
將 XSS 與 OAuth 結合起來,以應對嚴重違規行為
Salt Labs 的研究重點指出,XSS 與 OAuth(一種流行的授權和身份驗證協議)相結合,可能導致嚴重漏洞。OAuth 被數千種網絡服務廣泛使用,尤其是那些提供社交登錄功能的網絡服務,這些服務往往在人們不知情的情況下使用。通過利用這些漏洞,研究人員展示了接管 Hotjar 和 Business Insider 帳户的能力。
Salt Security 研究副總裁 Yaniv Balmas 解釋道:“這類攻擊的風險自然取決於目標的類型、它們存儲的信息、它們提供的功能等。”
“一般來説,成功利用此攻擊媒介的攻擊者將獲得與受害者相同的權限和功能,因此,風險將與普通系統用户實際可以做的事情相同。”
漏洞利用方法
為了利用此漏洞,攻擊者通常會通過電郵、短信或社交媒體發送看似合法的鏈接,誘騙受害者點擊。一旦點擊,攻擊者便可完全控制該帳户,使他們能夠執行任何操作並訪問所有存儲的數據。
此問題並非僅存在於所分析的兩個目標中。鑑於 OAuth 的流行度和 XSS 問題的普遍性,許多其他 Web 服務也可能存在漏洞。這凸顯了捆綁 API 使用相關的固有風險。
“一如既往,在實施任何新技術時,都需要考慮很多事情,當然包括安全性,”Balmas 補充道。“考慮到所有可能選項的穩固實施應該是安全的,不會讓攻擊者有機會濫用這種攻擊媒介。”
幾個月前,Salt Security 披露了 AI 工具 ChatGPT 中的嚴重 OAuth 漏洞,隨後又發佈了新數據。
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服