Hiljade internet-stranica i milioni korisničkih naloga su zbog ovoga podložni hakerskim napadima

Kompanija Salt Security, specijalizovana za cyber sigurnost, upozorila je na nedostatke u OAuth mehanizmima koji se koriste za prijavu na različitim internet-stranicama putem naloga na društvenim mrežama. Prema istraživanju, ovi nedostaci čine skoro milijardu korisničkih naloga ranjivim na hakerske napade. Slabost se posebno odnosi na proces verifikacije pristupnog tokena koji je ključni dio OAuth implementacije.

OAuth protokol, koji služi kao digitalni ključ za autorizaciju i autentifikaciju korisnika, olakšava proces prijave koristeći naloge na društvenim mrežama. Da bi korisniku odobrile pristup, web-platforme moraju da verifikuju token koji je dostavljen tokom procesa prijave. Međutim, ovo je tačka gdje mnoge platforme podbacuju. Istraživači iz Salt Labsa uspjeli su da koriste token sa drugog sajta kao verifikovani token, omogućavajući im pristup korisničkim nalozima. Ova metoda napada naziva se “Pass-The-Token”.

Ovakvi napadi omogućavaju cyber kriminalcima ne samo da preuzmu korisničke naloge već i da pristupe osjetljivim informacijama, kao što su podaci o plaćanju. Hakeri mogu dalje da koriste ove naloge da izvrše različite radnje u ime korisnika, što može dovesti do krađe identiteta i finansijskih prevare.

Iako su neke velike platforme kao što su Vidio sa 100 miliona aktivnih korisnika mjesečno, Bukalapak sa više od 150 miliona i Grammarly sa preko 30 miliona korisnika dnevno, uspjele da otklone ove nedostatke, hiljade sajtova i dalje su podložne ovakvim napadima, prenosi Informacija.rs.

U svjetlu ovih otkrića, imperativ je za web-platforme da preispitaju i pojačaju svoje mehanizme za prijavu korisnika kako bi se izbjegla mogućnost kompromitacije korisničkih naloga i gubitka osjetljivih informacija.