Hiljade veb sajtova i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima

Vreme čitanja: oko 1 min.

Nedavno istraživanje kompanije Salt Security otkriva ozbiljne slabosti u OAuth mehanizmima za prijavu preko društvenih mreža

Foto: Shutterstock.com

Kompanija Salt Security, specijalizovana za sajber bezbednost, upozorila je na nedostatke u OAuth mehanizmima koji se koriste za prijavu na različitim veb sajtovima putem naloga na društvenim mrežama. Prema istraživanju, ovi nedostaci čine skoro milijardu korisničkih naloga ranjivim na hakerske napade. Slabost se posebno odnosi na proces verifikacije pristupnog tokena koji je ključni deo OAuth implementacije.

OAuth protokol, koji služi kao digitalni ključ za autorizaciju i autentifikaciju korisnika, olakšava proces prijave koristeći naloge na društvenim mrežama. Da bi korisniku odobrile pristup, veb platforme moraju da verifikuju token koji je dostavljen tokom procesa prijave. Međutim, ovo je tačka gde mnoge platforme podbacuju. Istraživači iz Salt Labsa uspeli su da koriste token sa drugog sajta kao verifikovani token, omogućavajući im pristup korisničkim nalozima. Ova metoda napada naziva se "Pass-The-Token".

Ovakvi napadi omogućavaju sajber kriminalcima ne samo da preuzmu korisničke naloge, već i da pristupe osetljivim informacijama, kao što su podaci o plaćanju. Hakeri mogu dalje da koriste ove naloge da izvrše različite radnje u ime korisnika, što može dovesti do krađe identiteta i finansijskih prevare.

Iako su neke velike platforme kao što su Vidio sa 100 miliona aktivnih korisnika mesečno, Bukalapak sa više od 150 miliona i Grammarly sa preko 30 miliona korisnika dnevno, uspele da otklone ove nedostatke, hiljade sajtova i dalje su podložni ovakvim napadima, prenosi Informacija.rs.

U svetlu ovih otkrića, imperativ je za veb platforme da preispitaju i pojačaju svoje mehanizme za prijavu korisnika kako bi se izbegla mogućnost kompromitacije korisničkih naloga i gubitka osetljivih informacija.

(Telegraf.rs)