OAuth hijacking
Az Open Authorization (OAuth) szabvány megvalósításának hibái három kiemelkedő online szolgáltatásban lehetővé tették volna a támadók számára, hogy több száz millió felhasználói fiókot vegyenek át több tucat webhelyen, amivel az embereket hitelesítő adatok ellopásának, pénzügyi csalásnak és egyéb kiberbűnözői tevékenységnek tehették volna ki. A Salt Labs kutatói kritikus API hibás konfigurációkat fedeztek fel számos online vállalat – a mesterséges intelligencia (AI) által működtetett íróeszköz, a Grammarly, a Vidio online streaming platform és a Bukalapak indonéz e-kereskedelmi webhely – webhelyein, amelyek miatt azt hitték, hogy több tucat másik webhely Valószínűleg ugyanúgy veszélybe kerülnek. Az OAuth egy széles körben alkalmazott szabvány, amely lehetővé teszi a többplatformos hitelesítést, amely a legtöbb számára ismerős egy online webhelyre másik közösségimédia-fiókkal való bejelentkezéshez, például „Bejelentkezés Facebookkal” vagy „Bejelentkezés Google-lal”.
A kutatók február és április között találták meg a legújabb problémákat a Vidióban, a Bukalapakban és a Grammarlyban, és sorra értesítették a három céget, amelyek mindegyike időben válaszolt. A hibás konfigurációkat azóta ezekben a szolgáltatásokban megoldották, de ez még nem a történet vége.
Csak ez a három webhely elég ahhoz, hogy bebizonyítsák a tényeket, és úgy döntöttek, hogy nem keresnek további célpontokat – áll a jelentésben -, de arra számítanak, hogy több ezer más webhely lesz sebezhető az ebben a bejegyzésben részletezett támadásokkal szemben, ami további internetfelhasználók milliárdjait sodorja veszélybe minden nap.