行業新聞與部落格

安全研究人員發現了網路分析提供商 Hotjar 和全球新聞機構 Business Insider 中的嚴重漏洞。 

Salt Labs 的研究結果表明，企業面臨的風險增加。Hotjar 與 Google Analytics 一起使用，收集了大量個人和敏感資料，包括使用者螢幕活動、PII、私人訊息，甚至在某些情況下包括憑證。 

對主要品牌的潛在影響

這些漏洞為超過一百萬個網站提供服務，其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌，這些漏洞可能使攻擊者能夠無限制地訪問敏感資料，從而影響全球數百萬使用者和組織。

這些漏洞並不侷限於 Hotjar 和 Business Insider，而是表明類似生態系統中存在更廣泛的問題。今天釋出的這項研究強調了跨站點指令碼 (XSS) 漏洞的持續存在，這是自網際網路早期以來一直存在的問題。儘管隨著時間的推移有所緩解，但新技術的整合重新引入了這些歷史缺陷，大大增加了安全風險。

將 XSS 與 OAuth 結合起來，以應對嚴重違規行為

Salt Labs 的研究重點指出，XSS 與 OAuth（一種流行的授權和身份驗證協議）相結合，可能導致嚴重漏洞。OAuth 被數千種網路服務廣泛使用，尤其是那些提供社交登入功能的網路服務，這些服務往往在人們不知情的情況下使用。透過利用這些漏洞，研究人員展示了接管 Hotjar 和 Business Insider 帳戶的能力。

Salt Security 研究副總裁 Yaniv Balmas 解釋道：“這類攻擊的風險自然取決於目標的型別、它們儲存的資訊、它們提供的功能等。”

“一般來說，成功利用此攻擊媒介的攻擊者將獲得與受害者相同的許可權和功能，因此，風險將與普通系統使用者實際可以做的事情相同。”

漏洞利用方法

為了利用此漏洞，攻擊者通常會透過電子信箱、簡訊或社交媒體傳送看似合法的連結，誘騙受害者點選。一旦點選，攻擊者便可完全控制該帳戶，使他們能夠執行任何操作並訪問所有儲存的資料。

此問題並非僅存在於所分析的兩個目標中。鑑於 OAuth 的流行度和 XSS 問題的普遍性，許多其他 Web 服務也可能存在漏洞。這凸顯了捆綁 API 使用相關的固有風險。 

“一如既往，在實施任何新技術時，都需要考慮很多事情，當然包括安全性，”Balmas 補充道。“考慮到所有可能選項的穩固實施應該是安全的，不會讓攻擊者有機會濫用這種攻擊媒介。”

幾個月前，Salt Security 披露了 AI 工具 ChatGPT 中的嚴重 OAuth 漏洞，隨後又釋出了新資料。