Kwetsbaarheid in social sign-in en OAuth-implementaties treft duizenden sites

Hiervoor waarschuwt Salt Labs, de onderzoeksdivisie van API-securitybedrijf Salt Security. De partij identificeerde tekortkomingen in de verificatiestap van de toegangstokens tijdens het social sign-in proces, als onderdeel van de OAuth-implementatie op deze websites. De ontdekte kwetsbaarheden hadden potentieel invloed op bijna een miljard gebruikersaccounts op deze drie sites.

De vastgestelde kwetsbaarheden stelden kwaadwillenden in staat om:

Volledige toegang te krijgen tot de accounts van gebruikers op tientallen websites, wat mogelijk toegang zou verschaffen tot bankrekeningen, creditcardgegevens en andere gevoelige informatie.

Elke handeling namens de gebruiker uit te voeren, wat zou kunnen leiden tot identiteitsdiefstal en financiële fraude.

OAuth is een veelgebruikt mechanisme voor inloggen op websites en webdiensten. Gebruikers kunnen met OAuth met één klik hun sociale media-accounts, zoals Google of Facebook, gebruiken om hun identiteit te verifiëren en zich te registreren op een site zonder een unieke gebruikersnaam/wachtwoordcombinatie te hoeven instellen voor toegang. Voor dit type inloggen is een geverifieerd token nodig om toegang goed te keuren, en alle drie de sites hebben het token niet geverifieerd. Als gevolg daarvan konden de onderzoekers van Salt Labs een token van een andere site invoegen als een geverifieerd token en toegang krijgen tot gebruikersaccounts, door gebruik te maken van een techniek genaamd ‘Pass-The-Token Attack’.

Vidio

Een van deze websites is Video, een online videostreamingplatform met 100 miljoen maandelijkse actieve gebruikers. Het platform biedt een breed scala aan content aan, waaronder films, tv-programma's, live sportevenementen en originele producties.

Bij het inloggen via Facebook ontdekten onderzoekers van Salt Labs kwetsbaarheden in de OAuth-implementatie. Opvallend was dat de Vidio.com website het token niet verifieerde, hoewel deze verificatie de verantwoordelijkheid was van de websiteontwikkelaars en niet van OAuth zelf. Dit gaf aanvallers de mogelijkheid om de API-oproepen te manipuleren en een toegangstoken in te voegen dat was gegenereerd voor een andere toepassing. Het samenspel van dit andere token en AppID gaf het onderzoeksteam van Salt Labs de capaciteit om een gebruiker op de Vidio-site te imiteren, wat potentieel kon leiden tot grootschalige accountovername op duizenden accounts.

Bukalapak

Bukalapak is een van de grootste en meest prominente e-commerceplatforms in Indonesië, met meer dan 150 miljoen maandelijkse gebruikers. Net als Vidio verifieerde Bukalapak het toegangstoken niet wanneer gebruikers zich registreerden met een social login. Daarom kon het team van Salt Labs door een token van een andere website in te voeren, toegang krijgen tot de referenties van een gebruiker op bukalapak.com en volledige controle over de account van die gebruiker overnemen.

Grammarly

Grammarly.com is een door AI aangedreven schrijftool die dagelijks meer dan 30 miljoen gebruikers helpt om hun schrijfvaardigheden te verbeteren door middel van grammaticale, interpunctie- en spellingcontroles, en biedt tevens andere waardevolle schrijftips.

Het team van Salt Security slaagde erin de API-uitwisseling te manipuleren om code in te voegen die normaal wordt gebruikt voor de verificatie van gebruikers op een andere website. Hierdoor konden ze toegang verkrijgen tot de inloggegevens van de gebruikersaccounts en uiteindelijk volledige controle over deze accounts verkrijgen.

Na het ontdekken van de kwetsbaarheden op alle drie de sites, hebben de onderzoekers van Salt Labs de beveiligingslekken gemeld, waarna deze zijn gedicht. "OAuth is een van de snelst geadopteerde technologieën in het domein van AppSec en is in korte tijd uitgegroeid tot één van de meest populaire protocollen voor zowel gebruikersautorisatie als -authenticatie," aldus Yaniv Balmas, VP of Research bij Salt Security. "Het onderzoek van Salt Labs illustreert de potentiële impact van problemen met de implementatie van OAuth op een bedrijf en zijn klanten. We hopen dat deze serie de bredere industrie heeft geholpen om de aard van mogelijke fouten in de implementatie van OAuth beter te begrijpen en hoe deze API-gebaseerde beveiligingslacunes kunnen worden gedicht om gegevens effectiever te beschermen en het gebruik van OAuth veiliger te maken."

Het Salt Security State of API Security Report voor Q1 2023 toonde een toename van 400% van unieke aanvallers in de afgelopen zes maanden, waarbij 43% van de respondenten accountovername (ATO) als een groot zorgpunt noemde. Het Salt Security API Protection Platform is de enige oplossing voor API-beveiliging die de kracht van cloud-scale big data en bewezen ML/AI combineert om API-aanvallen te detecteren en te voorkomen. Door activiteiten over miljoenen API's en gebruikers in de loop van de tijd te correleren, biedt Salt diepgaande context met realtime analyse en voortdurende inzichten in API-bedreigingen en kwetsbaarheden, inclusief die zoals vermeld in de OWASP API Security Top 10-lijst.

Meer informatie over het onderzoek is hier beschikbaar.