salt-security api threats

Bugs em API do OAuth podem permitir o roubo de cartões

Da Redação
28/05/2023

Vulnerabilidades no framework da Expo, estrutura popular usada por muitos serviços online para implementar o OAuth (autorização aberta), além de outras funcionalidades, podem permitir o roubo de contas, cartão de crédito e exposição de dados pessoais em centenas de serviços online. 

A empresa de segurança de APIs Salt Security divulgou um relatório que detalha várias falhas críticas de segurança na estrutura do OAuth, muito usada por mais de 100 aplicativos, sites e serviços da web, pois viabiliza aos usuários fazerem login usando suas contas de mídia social, com apenas um clique, em vez de por meio do tradicional registro de usuário e da autenticação de nome de usuário/senha. 

As falhas encontradas têm potencial de afetar qualquer pessoa que fizer login em um serviço online empregando a estrutura da Expo por meio de suas contas no Facebook, Google, Apple e Twitter. Essas descobertas marcam o segundo relatório de pesquisa da série de sequestros OAuth do Salt Labs, braço de pesquisa da Salt Security e fórum público para educação em segurança de API, após vulnerabilidades descobertas no Booking.com no início deste ano. 

Ao descobri-las, os pesquisadores do Salt Labs seguiram práticas coordenadas de divulgação com a Expo, com a rápida correção de todos os problemas. Uma investigação da Expo não encontrou evidências de que essas falhas tenham sido exploradas.

Veja isso
Hackers anexam aplicativos OAuth no Exchange para espalhar spam
Invasão de contas num clique com tokens OAuth

O relatório sobre as vulnerabilidades da Expo, segundo a Salt Security, deixa claro como as empresas podem estar sujeitas a vulnerabilidades de segurança de API introduzidas por estruturas de terceiros, neste caso potencialmente afetando a implementação de centenas de sites e aplicativos. Os resultados mostraram que os serviços que usam essa estrutura eram suscetíveis ao vazamento de credenciais e poderiam ter permitido a apropriação de contas em larga escala (account takeover – ATO), permitindo que os agentes mal-intencionados:

  • Manipulassem os usuários da plataforma para obter controle total sobre suas contas
  • Tivessem acesso a Informações Pessoais Identificáveis (PII) e a outros dados confidenciais do usuário armazenados internamente pelos sites
  • Roubassem identidades de usuários, realizassem fraudes financeiras e tivessem acesso a informações de cartão de crédito
  • Executassem ações potencialmente em nome do usuário comprometido no Facebook, Google, Twitter e outras plataformas online

“As vulnerabilidades de segurança podem acontecer em qualquer site; é a resposta que importa”, disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security. “Com o OAuth se tornando rapidamente o padrão da indústria, os agentes mal-intencionados estão trabalhando incansavelmente para encontrar vulnerabilidades de segurança dentro dele. A má implementação do OAuth pode ter um impacto significativo tanto para as empresas quanto para os clientes, pois eles deixam dados preciosos expostos e as organizações devem permanecer atentas aos riscos de segurança existentes em suas plataformas.”

Compartilhar: