Pronađeno je nekoliko sigurnosnih propusta u implementaciji funkcije otvorene autorizacije (OAuth) društvene prijave koju koristi online turistička agencija Booking.com.
Ranjivosti koje je otkrio Salt Security mogu potencijalno uticati na korisnike koji se prijavljuju na stranicu putem svojih Facebook naloga.
“Pogrešne konfiguracije OAuth-a mogle su omogućiti i preuzimanje računa velikih razmjera (ATO) na računima klijenata i kompromitaciju servera” napisao je istraživač sigurnosti Salt Security-a Aviad Carmel.
Stručnjak za sigurnost je rekao da, iako OAuth pruža lakše korisničko iskustvo u interakciji s web stranicama, njegov složeni tehnički backend može stvoriti sigurnosne probleme sa potencijalnom eksploatacijom.
“OAuth je brzo postao industrijski standard i trenutno ga koriste stotine hiljada usluga širom svijeta” rekao je potpredsjednik istraživanja kompanije Yaniv Balmas. “Kao rezultat toga, pogrešne konfiguracije OAuth-a mogu imati značajan uticaj i na kompanije i na klijente jer ostavljaju dragocjene podatke izložene hakerima.”
Konkretno, istraživač je rekao da su otkrili ranjivosti manipuliranjem određenim koracima u OAuth sekvenci na stranici Booking.com.
“Mi smo otkrili da oni mogu otimati sesije i postići preuzimanje računa (ATO), krađu korisničkih podataka i izvršavanje radnji u ime korisnika” napisao je Balmas.
Nakon što je otkrio nedostatke, Salt Labs ih je otkrio Booking.com-u, a kompanija ih je navodno ispravila.
“Po prijemu izvještaja od Salt Security-a, naši timovi su odmah istražili nalaze i ustanovili da nije bilo kompromisa za platformu Booking.com, a ranjivost je brzo riješena” rekao je glasnogovornik kompanije.
Salt Labs je rekao da nisu vidjeli dokaze da je eksploatisan u divljini. Ovo otkriće dolazi skoro godinu dana nakon što je GitHub potvrdio da je nekoliko organizacija kompromitovano od strane pretnje koristeći ukradene OAuth tokene za pristup njihovim privatnim repozitorijumima.
Nedavno je Microsoft otkrio da su hakeri instalirali OAuth aplikacije na kompromitovane korisnike Cloud-a i koristili ih za kontrolu Exchange servera i širenje neželjene pošte.
Izvor: Infosecurity Magazine
