A Salt Security lançou hoje uma nova pesquisa de ameaças da Salt Labs que detalha várias falhas críticas de segurança na estrutura da Expo, uma estrutura popular usada por muitos serviços online para implementar o Oauth (Autorização Aberta), além de outras funcionalidades.
O Oauth é muito popular em sites e serviços da Web pois viabiliza aos usuários fazerem login usando suas contas de mídia social, com apenas um clique, em vez de por meio do tradicional registro de usuário e da autenticação de nome de usuário / senha. As falhas encontradas tinham potencial de afetar qualquer pessoa que fizesse login em um serviço online empregando a estrutura da Expo por meio de suas contas no Facebook, Google, Apple e Twitter. Essas descobertas marcam o segundo relatório de pesquisa da série de sequestros OAuth da Salt Labs, após vulnerabilidades descobertas em Booking.com no início deste ano.
A pesquisa da Expo deixa claro como as empresas podem estar sujeitas a vulnerabilidades de segurança de API introduzidas por estruturas de terceiros, neste caso potencialmente afetando a implementação de centenas de sites e aplicativos. Os resultados mostraram que os serviços que usam essa estrutura eram suscetíveis ao vazamento de credenciais e poderiam ter permitido a apropriação de contas em larga escala (Account Takeover – ATO), permitindo que os agentes mal-intencionados:
- Manipulassem os usuários da plataforma para obter controle total sobre suas contas;
- Tivessem acesso a Informações Pessoais Identificáveis (PII) e a outros dados confidenciais do usuário armazenados internamente pelos sites;
- Roubassem identidades de usuários, realizassem fraudes financeiras e tivessem acesso a informações de cartão de crédito;
- Executassem ações potencialmente em nome do usuário comprometido no Facebook, Google, Twitter e outras plataformas online.
A Salt Labs, braço de pesquisa da Salt Security e fórum público para educação em segurança de API, descobriu as lacunas de segurança de API e forneceu a análise de vulnerabilidade. Ao descobri-las, os pesquisadores da Salt Labs seguiram práticas coordenadas de divulgação com a Expo, com a rápida correção de todos os problemas. Uma investigação da Expo não encontrou evidências de que essas falhas tenham sido exploradas.
“As vulnerabilidades de segurança podem acontecer em qualquer site – é a resposta que importa”, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security. “Com o OAuth se tornando rapidamente o padrão da indústria, os agentes mal-intencionados estão trabalhando incansavelmente para encontrar vulnerabilidades de segurança dentro dele. A má implementação do OAuth pode ter um impacto significativo tanto para as empresas quanto para os clientes, pois eles deixam dados preciosos expostos e as organizações devem permanecer atentas aos riscos de segurança existentes em suas plataformas.”
De acordo com o Salt Security State of API Security Report, Q3 2022, os clientes da Salt experimentaram um aumento de 117% no tráfego de ataque de API, enquanto seu tráfego geral de API cresceu 168%. A Plataforma de Proteção de API da Salt Security permite que as empresas identifiquem riscos e vulnerabilidades em APIs antes que elas sejam exploradas por invasores, incluindo aqueles listados no OWASP API Security Top 10. A plataforma protege as APIs em todo o seu ciclo de vida – fases de criação, implantação e tempo de execução – utilizando big data em escala de nuvem combinado com IA e ML para estabelecer a linha de base de milhões de usuários e APIs. Ao fornecer insights baseados em contexto em todo o ciclo de vida da API, o Salt permite que os usuários detectem a atividade de reconhecimento de agentes mal-intencionados e os bloqueiem antes que possam atingir seu objetivo. As façanhas que a equipe da Salt Labs realizou teriam imediatamente acionado a plataforma Salt para destacar o ataque.
