A Salt Security, uma empresa líder em segurança de API, acaba de lançar uma nova pesquisa de ameaças conduzida pelo Salt Labs, destacando vulnerabilidades de segurança de API encontradas em implementações de login social e autenticação aberta (OAuth) de várias empresas online, incluindo Grammarly, Vidio e Bukalapak. Embora essas vulnerabilidades já tenham sido corrigidas, elas representaram um risco significativo, podendo resultar em vazamento de credenciais e tomada total da conta (ATO).
O Salt Labs também revelou que cerca de 1.000 outros sites que utilizam mecanismos de login social provavelmente estão vulneráveis ao mesmo tipo de ataque. Isso coloca em risco bilhões de indivíduos em todo o mundo. Essas descobertas marcam o terceiro e último relatório de pesquisa na série de sequestros OAuth do Salt Labs, após a identificação de vulnerabilidades semelhantes em Booking.com e Expo no início deste ano.
Nesta pesquisa mais recente, as vulnerabilidades foram encontradas na etapa de verificação do token de acesso durante o processo de login social, que faz parte da implementação do OAuth nesses sites. As falhas identificadas poderiam permitir que criminosos virtuais obtivessem acesso completo às contas dos usuários em dezenas de sites, o que inclui a possibilidade de acessar informações bancárias, detalhes de cartões de crédito e outros dados confidenciais. Além disso, essas falhas poderiam permitir que agentes mal-intencionados executem ações em nome dos usuários, potencialmente levando ao roubo de identidade e fraude financeira.
O OAuth é uma tecnologia amplamente utilizada para autorização e autenticação de usuários, permitindo um login com apenas “um clique” usando contas de mídia social, como Google ou Facebook, para verificar a identidade e permitir o registro em sites, em vez de criar uma combinação única de nome de usuário e senha. No entanto, para esse tipo de login, o OAuth requer a verificação de tokens, e todos os três sites mencionados falharam nessa verificação. Como resultado, os pesquisadores do Salt Labs conseguiram inserir um token de outro site como se fosse legítimo, obtendo assim acesso às contas dos usuários, utilizando uma técnica conhecida como “Ataque Pass-The-Token.”
Essas falhas foram identificadas em três plataformas específicas:
Vidio: uma plataforma de streaming de vídeo online com 100 milhões de usuários ativos mensais, oferecendo uma ampla variedade de conteúdo, incluindo filmes, programas de TV, esportes ao vivo e produções originais.
Bukalapak: uma das maiores plataformas de comércio eletrônico na Indonésia, com mais de 150 milhões de usuários mensais.
Grammarly.com: uma ferramenta de escrita alimentada por IA que auxilia mais de 30 milhões de usuários diários a melhorar seus textos, oferecendo verificações gramaticais, de pontuação e ortografia, entre outras dicas de escrita.
Yaniv Balmas, vice-presidente de pesquisa da Salt Security, comentou: “O OAuth é uma das tecnologias de segurança de aplicativos que se difundiu mais rapidamente e se tornou um dos protocolos mais populares para autorização e autenticação de usuários. A pesquisa do Salt Labs destaca os possíveis impactos de erros de implementação do OAuth em empresas e seus clientes. Esperamos que esta série de pesquisas tenha contribuído para educar o setor sobre os riscos associados a falhas na implementação do OAuth e como corrigi-los para proteger melhor os dados e usar o OAuth com segurança.”
O relatório do Salt Labs sobre o Estado da Segurança de API do Primeiro Trimestre de 2023 revelou um aumento de 400% no número de invasores únicos nos últimos seis meses, e 43% dos entrevistados citaram a tomada de conta (ATO) como uma grande preocupação. A plataforma de proteção de API da Salt Security é uma solução única que combina o poder do big data em escala de nuvem com aprendizado de máquina/IA testado pelo tempo para detectar e prevenir ataques de API. Ao correlacionar atividades em milhões de APIs e usuários ao longo do tempo, o Salt oferece análises em tempo real e insights contínuos sobre ameaças e vulnerabilidades de API, incluindo aquelas listadas no OWASP API Security Top 10.
Para acessar o relatório completo, incluindo detalhes sobre como o Salt Labs conduziu a pesquisa e as medidas de mitigação recomendadas, visite o link disponível aqui.
