行業新聞與部落格

Hotjar、Business Insider 漏洞暴露 OAuth 資料風險

安全研究人員發現了網路分析提供商 Hotjar 和全球新聞機構 Business Insider 中的嚴重漏洞。 

Salt Labs 的研究結果表明,企業面臨的風險增加。Hotjar 與 Google Analytics 一起使用,收集了大量個人和敏感資料,包括使用者螢幕活動、PII、私人訊息,甚至在某些情況下包括憑證。 

對主要品牌的潛在影響

這些漏洞為超過一百萬個網站提供服務,其中包括 Adobe、Microsoft、T-Mobile 和 Nintendo 等主要品牌,這些漏洞可能使攻擊者能夠無限制地訪問敏感資料,從而影響全球數百萬使用者和組織。

這些漏洞並不侷限於 Hotjar 和 Business Insider,而是表明類似生態系統中存在更廣泛的問題。今天釋出的這項研究強調了跨站點指令碼 (XSS) 漏洞的持續存在,這是自網際網路早期以來一直存在的問題。儘管隨著時間的推移有所緩解,但新技術的整合重新引入了這些歷史缺陷,大大增加了安全風險。

將 XSS 與 OAuth 結合起來,以應對嚴重違規行為

Salt Labs 的研究重點指出,XSS 與 OAuth(一種流行的授權和身份驗證協議)相結合,可能導致嚴重漏洞。OAuth 被數千種網路服務廣泛使用,尤其是那些提供社交登入功能的網路服務,這些服務往往在人們不知情的情況下使用。透過利用這些漏洞,研究人員展示了接管 Hotjar 和 Business Insider 帳戶的能力。

Salt Security 研究副總裁 Yaniv Balmas 解釋道:“這類攻擊的風險自然取決於目標的型別、它們儲存的資訊、它們提供的功能等。”

“一般來說,成功利用此攻擊媒介的攻擊者將獲得與受害者相同的許可權和功能,因此,風險將與普通系統使用者實際可以做的事情相同。”

漏洞利用方法

為了利用此漏洞,攻擊者通常會透過電子信箱、簡訊或社交媒體傳送看似合法的連結,誘騙受害者點選。一旦點選,攻擊者便可完全控制該帳戶,使他們能夠執行任何操作並訪問所有儲存的資料。

此問題並非僅存在於所分析的兩個目標中。鑑於 OAuth 的流行度和 XSS 問題的普遍性,許多其他 Web 服務也可能存在漏洞。這凸顯了捆綁 API 使用相關的固有風險。 

“一如既往,在實施任何新技術時,都需要考慮很多事情,當然包括安全性,”Balmas 補充道。“考慮到所有可能選項的穩固實施應該是安全的,不會讓攻擊者有機會濫用這種攻擊媒介。”

幾個月前,Salt Security 披露了 AI 工具 ChatGPT 中的嚴重 OAuth 漏洞,隨後又釋出了新資料。

需要幫助嗎?聯絡我們的支援團隊 線上客服