行业新闻与博客

安全研究人员发现了网络分析提供商 Hotjar 和全球新闻机构 Business Insider 中的严重漏洞。 

Salt Labs 的研究结果表明，企业面临的风险增加。Hotjar 与 Google Analytics 一起使用，收集了大量个人和敏感数据，包括用户屏幕活动、PII、私人消息，甚至在某些情况下包括凭证。 

对主要品牌的潜在影响

这些漏洞为超过一百万个网站提供服务，其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌，这些漏洞可能使攻击者能够无限制地访问敏感数据，从而影响全球数百万用户和组织。

这些漏洞并不局限于 Hotjar 和 Business Insider，而是表明类似生态系统中存在更广泛的问题。今天发布的这项研究强调了跨站点脚本 (XSS) 漏洞的持续存在，这是自互联网早期以来一直存在的问题。尽管随着时间的推移有所缓解，但新技术的整合重新引入了这些历史缺陷，大大增加了安全风险。

将 XSS 与 OAuth 结合起来，以应对严重违规行为

Salt Labs 的研究重点指出，XSS 与 OAuth（一种流行的授权和身份验证协议）相结合，可能导致严重漏洞。OAuth 被数千种网络服务广泛使用，尤其是那些提供社交登录功能的网络服务，这些服务往往在人们不知情的情况下使用。通过利用这些漏洞，研究人员展示了接管 Hotjar 和 Business Insider 帐户的能力。

Salt Security 研究副总裁 Yaniv Balmas 解释道：“这类攻击的风险自然取决于目标的类型、它们存储的信息、它们提供的功能等。”

“一般来说，成功利用此攻击媒介的攻击者将获得与受害者相同的权限和功能，因此，风险将与普通系统用户实际可以做的事情相同。”

漏洞利用方法

为了利用此漏洞，攻击者通常会通过电子邮件、短信或社交媒体发送看似合法的链接，诱骗受害者点击。一旦点击，攻击者便可完全控制该帐户，使他们能够执行任何操作并访问所有存储的数据。

此问题并非仅存在于所分析的两个目标中。鉴于 OAuth 的流行度和 XSS 问题的普遍性，许多其他 Web 服务也可能存在漏洞。这凸显了捆绑 API 使用相关的固有风险。 

“一如既往，在实施任何新技术时，都需要考虑很多事情，当然包括安全性，”Balmas 补充道。“考虑到所有可能选项的稳固实施应该是安全的，不会让攻击者有机会滥用这种攻击媒介。”

几个月前，Salt Security 披露了 AI 工具 ChatGPT 中的严重 OAuth 漏洞，随后又发布了新数据。