Salt Security heeft nieuwe onderzoeksresultaten vrijgegeven van Salt Labs waarin beveiligingskwetsbaarheden worden belicht die zijn ontdekt in de social sign-in en Open Authentication (OAuth) implementaties van verschillende online bedrijven, waaronder Grammarly, Vidio en Bukalapak. Deze gebreken, die inmiddels zijn aangepakt, hadden tot gevolg dat inloggegevens gelekt konden worden en dat volledige account takeovers (ATO) mogelijk waren. Salt Labs heeft ook gemeld dat duizenden andere websites die sociale aanmeldingsmechanismen gebruiken, waarschijnlijk vatbaar zijn voor hetzelfde type aanval, waardoor miljarden individuen wereldwijd risico lopen.
Het onderzoek identificeerde tekortkomingen in de verificatiestap van de toegangstokens tijdens het social sign-in proces, als onderdeel van de OAuth-implementatie op deze websites. De ontdekte kwetsbaarheden hadden potentieel invloed op bijna een miljard gebruikersaccounts op deze drie sites.
De vastgestelde kwetsbaarheden zouden kwaadwillige hackers in staat hebben gesteld om:
- Volledige toegang te krijgen tot de accounts van gebruikers op tientallen websites, wat mogelijk toegang zou verschaffen tot bankrekeningen, creditcardgegevens en andere gevoelige informatie.
- Elke handeling namens de gebruiker uit te voeren, wat zou kunnen leiden tot identiteitsdiefstal en financiële fraude.
OAuth is een veelgebruikt mechanisme voor inloggen op websites en webdiensten, waarmee gebruikers met één klik hun sociale media-accounts, zoals Google of Facebook, kunnen gebruiken om hun identiteit te verifiëren en zich te registreren op een site, zonder een unieke gebruikersnaam/wachtwoordcombinatie te hoeven instellen voor toegang. Voor dit type inloggen is een geverifieerd token nodig om toegang goed te keuren, en alle drie de sites hebben het token niet geverifieerd. Als gevolg daarvan konden de onderzoekers van Salt Labs een token van een andere site invoegen als een geverifieerd token en toegang krijgen tot gebruikersaccounts, door gebruik te maken van een techniek genaamd ‘Pass-The-Token Attack’.
Vidio
Vidio is een online videostreamingplatform met 100 miljoen maandelijkse actieve gebruikers dat een breed scala aan content aanbiedt, waaronder films, tv-programma’s, live sportevenementen en originele producties.
Bij het inloggen via Facebook ontdekten onderzoekers van Salt Labs kwetsbaarheden in de OAuth-implementatie. Opvallend was dat de Vidio.com website het token niet verifieerde, hoewel deze verificatie de verantwoordelijkheid was van de websiteontwikkelaars en niet van OAuth zelf. Dit gaf aanvallers de mogelijkheid om de API-oproepen te manipuleren en een toegangstoken in te voegen dat was gegenereerd voor een andere toepassing. Het samenspel van dit andere token en AppID gaf het onderzoeksteam van Salt Labs de capaciteit om een gebruiker op de Vidio-site te imiteren, wat potentieel kon leiden tot grootschalige accountovername op duizenden accounts.
Bukalapak
Bukalapak is een van de grootste en meest prominente e-commerceplatforms in Indonesië, met meer dan 150 miljoen maandelijkse gebruikers.
Net als Vidio verifieerde Bukalapak het toegangstoken niet wanneer gebruikers zich registreerden met een social login. Daarom kon het team van Salt Labs door een token van een andere website in te voeren, toegang krijgen tot de referenties van een gebruiker op bukalapak.com en volledige controle over de account van die gebruiker overnemen.
Grammarly
Grammarly.com is een door AI aangedreven schrijftool die dagelijks meer dan 30 miljoen gebruikers helpt om hun schrijfvaardigheden te verbeteren door middel van grammaticale, interpunctie- en spellingcontroles, en biedt tevens andere waardevolle schrijftips.
Door nauwkeurig onderzoek te doen naar de API-oproepen en de specifieke terminologie die de Grammarly-website gebruikt voor de codeoverdracht, slaagde het team van Salt Labs erin de API-uitwisseling te manipuleren om code in te voegen die normaal wordt gebruikt voor de verificatie van gebruikers op een andere website. Hierdoor konden ze toegang verkrijgen tot de inloggegevens van de gebruikersaccounts en uiteindelijk volledige controle over deze accounts verkrijgen.
Na het ontdekken van de kwetsbaarheden op alle drie de sites, hebben de onderzoekers van Salt Labs de coördinatie van openbaarmakingspraktijken gevolgd en zijn alle problemen verholpen.
“OAuth is een van de snelst geadopteerde technologieën in het domein van AppSec en is in korte tijd uitgegroeid tot één van de meest populaire protocollen voor zowel gebruikersautorisatie als -authenticatie,” aldus Yaniv Balmas, VP of Research bij Salt Security. “Het onderzoek van Salt Labs illustreert de potentiële impact van problemen met de implementatie van OAuth op een bedrijf en zijn klanten. We hopen dat deze serie de bredere industrie heeft geholpen om de aard van mogelijke fouten in de implementatie van OAuth beter te begrijpen en hoe deze API-gebaseerde beveiligingslacunes kunnen worden gedicht om gegevens effectiever te beschermen en het gebruik van OAuth veiliger te maken.”
Het Salt Security State of API Security Report voor Q1 2023 toonde een toename van 400% van unieke aanvallers in de afgelopen zes maanden, waarbij 43% van de respondenten accountovername (ATO) als een groot zorgpunt noemde. Het Salt Security API Protection Platform is de enige oplossing voor API-beveiliging die de kracht van cloud-scale big data en bewezen ML/AI combineert om API-aanvallen te detecteren en te voorkomen. Door activiteiten over miljoenen API’s en gebruikers in de loop van de tijd te correleren, biedt Salt diepgaande context met realtime analyse en voortdurende inzichten in API-bedreigingen en kwetsbaarheden, inclusief die zoals vermeld in de OWASP API Security Top 10-lijst.
Meer informatie over hoe Salt Labs dit onderzoek heeft uitgevoerd is hier beschikbaar.
