Nova ameaça XSS explora logins sociais do OAuth, colocando milhões de sites em risco
Salt Labs, o braço de pesquisa da empresa de segurança de API Salt Security, descobriu recentemente uma vulnerabilidade significativa de cross-site scripting (XSS) que tem o potencial de afetar milhões de sites em todo o mundo. Ao contrário de uma vulnerabilidade de produto que pode ser corrigida centralmente, esse problema decorre da implementação do OAuth – um aplicativo amplamente usado para logins sociais – no código da web. Apesar da crença comum entre os desenvolvedores de que as ameaças XSS são coisa do passado, as descobertas do Salt Labs destacam uma supervisão crítica na segurança da web.
Índice
A complacência da familiaridade
A facilidade de implementação do OAuth para logins sociais gerou um sentimento de complacência entre os desenvolvedores. Essa familiaridade, no entanto, pode levar a erros significativos. A questão fundamental reside na introdução de novas tecnologias e processos num ecossistema existente, o que pode perturbar o equilíbrio estabelecido. Isso não é uma falha no OAuth em si, mas na forma como ele é implementado em vários sites. A Salt Labs descobriu que, sem cuidado e rigor meticulosos, o uso do OAuth pode criar uma nova rota XSS que contorna as mitigações atuais, levando potencialmente a invasões completas de contas.
Estudos de caso: HotJar e Business Insider
A pesquisa da Salt Labs se concentrou nas implementações de duas empresas proeminentes: HotJar e Business Insider. Essas empresas foram escolhidas devido às suas posturas de segurança substanciais e à quantidade significativa de informações de identificação pessoal (PII) que gerenciam. Se essas grandes empresas conseguirem implementar incorretamente o OAuth , a probabilidade de sites menores e com menos recursos cometerem erros semelhantes será alta. Yaniv Balmas, vice-presidente de pesquisa da Salt Security, revelou que problemas semelhantes de OAuth foram encontrados em sites como Booking.com, Grammarly e OpenAI, embora não tenham sido incluídos no relatório.
O HotJar, em particular, ganhou destaque devido à extensa saturação do mercado e à grande quantidade de dados de usuários que coleta. Operando de forma semelhante ao Google Analytics, o HotJar registra dados da sessão do usuário, incluindo capturas de tela, cliques do teclado e ações do mouse. Esses dados podem abranger informações confidenciais, como nomes, e-mails, endereços, mensagens privadas, dados bancários e credenciais. A vulnerabilidade descoberta permite que invasores explorem o processo de login social do OAuth forjando e interceptando segredos de login, obtendo assim acesso não autorizado às contas dos usuários.
A Metodologia de Ataque
O método de ataque envolve a combinação de XSS com o fluxo de login OAuth. Um link criado que imita uma solicitação legítima de login social do HotJar inicia o ataque. Quando uma vítima clica neste link, o invasor pode interceptar os segredos de login, levando ao controle total da conta. Esta vulnerabilidade sublinha a importância de práticas de implementação seguras, que muitos websites ignoram ou não têm experiência para executar.
Medidas e ferramentas proativas
Em resposta a essas descobertas, a Salt Labs publicou suas metodologias e uma ferramenta de verificação gratuita para ajudar os operadores de sites a identificar e resolver possíveis problemas de implementação do OAuth XSS. Esta abordagem proativa visa mitigar os riscos antes que se transformem em violações de segurança significativas. Embora Balmas alerte que não é possível garantir 100% de sucesso, a ferramenta fornece um valioso sistema de alerta precoce para que as organizações fortaleçam as suas posturas de segurança.
A descoberta da Salt Labs serve como um lembrete claro de que mesmo tecnologias amplamente confiáveis, como o OAuth, exigem implementação diligente e segura. À medida que o cenário digital continua a evoluir, também deve evoluir a nossa vigilância e compromisso com práticas robustas de segurança cibernética.