行业新闻与博客

Hotjar、Business Insider 漏洞暴露 OAuth 数据风险

安全研究人员发现了网络分析提供商 Hotjar 和全球新闻机构 Business Insider 中的严重漏洞。 

Salt Labs 的研究结果表明,企业面临的风险增加。Hotjar 与 Google Analytics 一起使用,收集了大量个人和敏感数据,包括用户屏幕活动、PII、私人消息,甚至在某些情况下包括凭证。 

对主要品牌的潜在影响

这些漏洞为超过一百万个网站提供服务,其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌,这些漏洞可能使攻击者能够无限制地访问敏感数据,从而影响全球数百万用户和组织。

这些漏洞并不局限于 Hotjar 和 Business Insider,而是表明类似生态系统中存在更广泛的问题。今天发布的这项研究强调了跨站点脚本 (XSS) 漏洞的持续存在,这是自互联网早期以来一直存在的问题。尽管随着时间的推移有所缓解,但新技术的整合重新引入了这些历史缺陷,大大增加了安全风险。

将 XSS 与 OAuth 结合起来,以应对严重违规行为

Salt Labs 的研究重点指出,XSS 与 OAuth(一种流行的授权和身份验证协议)相结合,可能导致严重漏洞。OAuth 被数千种网络服务广泛使用,尤其是那些提供社交登录功能的网络服务,这些服务往往在人们不知情的情况下使用。通过利用这些漏洞,研究人员展示了接管 Hotjar 和 Business Insider 帐户的能力。

Salt Security 研究副总裁 Yaniv Balmas 解释道:“这类攻击的风险自然取决于目标的类型、它们存储的信息、它们提供的功能等。”

“一般来说,成功利用此攻击媒介的攻击者将获得与受害者相同的权限和功能,因此,风险将与普通系统用户实际可以做的事情相同。”

漏洞利用方法

为了利用此漏洞,攻击者通常会通过电子邮件、短信或社交媒体发送看似合法的链接,诱骗受害者点击。一旦点击,攻击者便可完全控制该帐户,使他们能够执行任何操作并访问所有存储的数据。

此问题并非仅存在于所分析的两个目标中。鉴于 OAuth 的流行度和 XSS 问题的普遍性,许多其他 Web 服务也可能存在漏洞。这凸显了捆绑 API 使用相关的固有风险。 

“一如既往,在实施任何新技术时,都需要考虑很多事情,当然包括安全性,”Balmas 补充道。“考虑到所有可能选项的稳固实施应该是安全的,不会让攻击者有机会滥用这种攻击媒介。”

几个月前,Salt Security 披露了 AI 工具 ChatGPT 中的严重 OAuth 漏洞,随后又发布了新数据。

需要帮助吗?联系我们的支持团队 在线客服