A Salt Labs revelou na terça-feira algumas vulnerabilidades de segurança em APIs de autenticação social que utilizam o Open Authentication (OAuth) de várias empresas, incluindo Grammarly, Vidio e Bukalapak.
Em uma postagem feita em 24 de outubro, a Salt Labs afirmou que as falhas, que já foram corrigidas, poderiam ter permitido o vazamento de credenciais e a controle completo das contas. Os pesquisadores da Salt também relataram que milhares de outros sites que utilizam mecanismos de autenticação social estão vulneráveis ao mesmo tipo de ataque, colocando bilhões de pessoas ao redor do mundo em risco.
Os resultados divulgados marcam o terceiro e último capítulo na série de pesquisas de sequestro OAuth realizadas pela Salt Labs, após a identificação de vulnerabilidades anteriormente neste ano nos sistemas do Booking.com e do Expo.
Amplamente utilizado em muitos sites e serviços web, o OAuth permite um login social "com um clique" que permite aos usuários usar suas contas de mídia social, como Google ou Facebook, para verificar sua identidade e se registrar em um site, em vez de criar um nome de usuário e senha exclusivos para acessar.
Para esse tipo de login, os pesquisadores da Salt Labs disseram que o OAuth precisa de um token verificado para aprovar o acesso, e todos os três sites anteriormente mencionados não verificaram o token. Como resultado, os pesquisadores conseguiram inserir um token de outro site como token verificado e ganhar acesso às contas dos usuários, usando uma técnica chamada "Ataque Pass-The-Token".
"O problema mais significativo que identificamos é que, embora o OAuth seja bem projetado e os principais provedores de OAuth, como Google, Facebook e outros, tenham servidores muito seguros, os problemas muitas vezes são encontrados no lado do serviço que implementa o OAuth", disse Yaniv Balmas, vice-presidente de pesquisa da Salt Labs. "É bastante fácil para qualquer pessoa adicionar a funcionalidade de login social a um site, seja implementando-a eles mesmos ou usando soluções de terceiros. No entanto, sem o conhecimento e a conscientização adequados, é muito fácil deixar brechas que o atacante poderá explorar e causar um impacto muito sério em todos os usuários do site."
Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security, disse que a pesquisa da Salt Labs ilustra a necessidade de as organizações garantirem a implementação adequada do OAuth. Tiquet disse que, embora a criptografia subjacente ofereça uma segurança sólida, existem decisões de implementação imperceptíveis que podem levar a vulnerabilidades.
"Para uma implementação correta, os engenheiros devem questionar o que as diferentes opções fazem, escolher a opção mais segura sempre que possível e validar o impacto potencial ao escolher opções fora das configurações padrão", disse Tiquet. "A maioria das vulnerabilidades do OAuth ocorre devido a uma implementação inadequada, e é por isso que esse tipo de projeto requer engenheiros experientes e tempo para revisões de código."
Aubrey Perin, analista líder de inteligência de ameaças na Qualys, acrescentou que as empresas devem evitar e desencorajar as autenticações sociais.
"Em vez disso, as organizações devem aproveitar soluções de autenticação única que podem ser controladas e auditadas como parte de suas políticas e programas abrangentes de gerenciamento de acesso à identidade", disse Perin.
Via - scmagazine
Comments