A Salt Security, especializada em segurança de APIs, revelou novas falhas críticas de segurança no provedor de análise web Hotjar e em uma renomada agência de notícias global. As vulnerabilidades, agora corrigidas, apresentavam um alto risco para empresas ao expor dados confidenciais de milhões de usuários.
Problemas de segurança identificados
A pesquisa da Salt Labs, divisão de pesquisa da Salt Security, destacou que as falhas poderiam ter permitido acesso irrestrito a conjuntos de dados sensíveis, afetando uma vasta gama de usuários e organizações. O Hotjar, amplamente utilizado por equipes de produto para melhorar a experiência do usuário, atende a mais de um milhão de sites, incluindo grandes marcas globais.
A vulnerabilidade identificada, relacionada ao Cross-site Scripting (XSS), é um problema antigo na segurança da web. Apesar de ter sido mitigada em diversas camadas ao longo dos anos, a combinação com a tecnologia OAuth – que permite logins rápidos usando contas de redes sociais – trouxe novas oportunidades para invasores explorarem falhas históricas. A pesquisa da Salt Labs mostrou que, ao combinar XSS com OAuth, foi possível assumir qualquer conta no Hotjar e nos serviços online da agência de notícias afetada.
Exploração e impacto potencial
Para explorar a vulnerabilidade, um invasor poderia enviar um link legítimo à vítima, que ao clicar poderia ter sua conta comprometida. Sem uma análise técnica aprofundada, a vítima não conseguiria identificar o ataque, permitindo que o invasor ganhasse controle total da conta e acesso a todos os dados armazenados.
A popularidade do OAuth e a ampla existência de problemas XSS indicam que esse risco pode estar presente em vários outros serviços online. Para ajudar as empresas a entender melhor suas exposições potenciais, a Salt Labs disponibilizou detalhes técnicos e uma nova ferramenta de avaliação de riscos. Anteriormente usada apenas internamente, a ferramenta está agora disponível para proprietários de sites interessados em realizar uma verificação gratuita de segurança.
Clique aqui para avaliar seu risco e obter mais informações sobre a ferramenta.
