Salt Security detecta falhas de segurança no Hotjar, provedor de análise web usado por milhões

0

A Salt Security, empresa líder em segurança de APIs, divulgou nesta segunda-feira,29, uma nova pesquisa de ameaças da Salt Labs, destacando falhas críticas de segurança no popular provedor de análise da web Hotjar e em uma renomada agência de notícias global, detectando um elevado risco para as empresas. O Hotjar é uma solução líder para equipes de produtos que desejam ir além das análises tradicionais da web e dos produtos, buscando entender seus usuários para entregar a eles uma melhor experiência. A empresa atende a mais de um milhão de sites, incluindo marcas globais. Essas vulnerabilidades poderiam ter permitido a um invasor ter acesso ilimitado a conjuntos de dados confidenciais nesses serviços, afetando milhões de usuários e organizações em todo o mundo.

Essas descobertas da Salt Labs, divisão de pesquisa da Salt Security, não são exclusivas desses serviços e indicam um problema maior que provavelmente também está presente em ecossistemas semelhantes.

A ressurreição de um antigo problema de segurança

O problema de segurança identificado existe desde os primeiros dias da Internet. Desde então, ele foi analisado e mitigado em muitas camadas, empregando inúmeras técnicas, reduzindo seu risco geral de segurança a um nível mínimo. No entanto, o surgimento de novas tecnologias pode causar uma grande mudança no ecossistema como um todo, introduzindo novas oportunidades para os invasores aproveitarem falhas históricas (no caso o Cross-site scripting, comumente conhecido como XSS) e aumentarem significativamente o risco de segurança.

Pesquisas recentes da Salt-Labs demonstram exatamente esse ponto, principalmente ao combinar XSS e a tecnologia recentemente popularizada conhecida como OAuth. O OAuth permite que os usuários façam login em sites usando suas contas de mídia social, com um clique, em vez de empregar o registro através dos tradicionais "usuário" e "senha". Ao combinar os recursos do OAuth com a antiga vulnerabilidade XSS, os pesquisadores da Salt-Labs provaram com sucesso a capacidade de assumir qualquer conta no Hotjar e nos serviços online da principal fonte de notícias.

Para explorar essa vulnerabilidade, um invasor pode simplesmente enviar à vítima um link válido para o serviço que deseja atacar. Este link pode ser encaminhado através de qualquer canal  (e-mail, mensagem de texto, mídia social ou postado em um fórum online, entre outros). Como o link é totalmente legítimo, a vítima praticamente não terá como determinar se faz parte de um ataque maior sem uma análise técnica profunda. epois que a vítima clica no link, o invasor pode obter controle total da conta, permitindo que ele execute qualquer ação e obtenha acesso a todos os dados armazenados.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.