Salt Security detecta falhas de segurança no Hotjar

14/08/2024 mindsecblog Notícias 0

Salt Security detecta falhas de segurança no Hotjar, provedor de análise web usado por milhões.

Vulnerabilidades, já corrigidas, possuíam grande potencial de comprometer dados confidenciais de milhões de usuários

A Salt Security, empresa líder em segurança de APIs, divulgou hoje uma nova pesquisa de ameaças da Salt Labs, destacando falhas críticas de segurança no popular provedor de análise da web Hotjar e em uma renomada agência de notícias global, detectando um elevado risco para as empresas. O Hotjar é uma solução líder para equipes de produtos que desejam ir além das análises tradicionais da web e dos produtos, buscando entender seus usuários para entregar a eles uma melhor experiência. A empresa atende a mais de um milhão de sites, incluindo marcas globais. Essas vulnerabilidades poderiam ter permitido a um invasor ter acesso ilimitado a conjuntos de dados confidenciais nesses serviços, afetando milhões de usuários e organizações em todo o mundo.

Essas descobertas da Salt Labs, divisão de pesquisa da Salt Security, não são exclusivas desses serviços e indicam um problema maior que provavelmente também está presente em ecossistemas semelhantes.

A ressurreição de um antigo problema de segurança

O problema de segurança identificado existe desde os primeiros dias da Internet. Desde então, ele foi analisado e mitigado em muitas camadas, empregando inúmeras técnicas, reduzindo seu risco geral de segurança a um nível mínimo. No entanto, o surgimento de novas tecnologias pode causar uma grande mudança no ecossistema como um todo, introduzindo novas oportunidades para os invasores aproveitarem falhas históricas (no caso o Cross-site scripting, comumente conhecido como XSS) e aumentarem significativamente o risco de segurança.

Pesquisas recentes da Salt-Labs demonstram exatamente esse ponto, principalmente ao combinar XSS e a tecnologia recentemente popularizada conhecida como OAuth. O OAuth permite que os usuários façam login em sites usando suas contas de mídia social, com um clique, em vez de empregar o registro através dos tradicionais “usuário” e “senha”. Ao combinar os recursos do OAuth com a antiga vulnerabilidade XSS, os pesquisadores da Salt-Labs provaram com sucesso a capacidade de assumir qualquer conta no Hotjar e nos serviços online da principal fonte de notícias.

Para explorar essa vulnerabilidade, um invasor pode simplesmente enviar à vítima um link válido para o serviço que deseja atacar. Este link pode ser encaminhado através de qualquer canal (e-mail, mensagem de texto, mídia social ou postado em um fórum online, entre outros). Como o link é totalmente legítimo, a vítima praticamente não terá como determinar se faz parte de um ataque maior sem uma análise técnica profunda. Depois que a vítima clica no link, o invasor pode obter controle total da conta, permitindo que ele execute qualquer ação e obtenha acesso a todos os dados armazenados.

Um problema generalizado

Devido à popularidade do OAuth e à existência generalizada de problemas de XSS, este risco provavelmente existe em vários outros serviços da Web, evidenciando os problemas que acompanham o uso agrupado das APIs. A Salt em seu blog disponibilizou para as equipes de segurança os detalhes técnicos e as explicações que permitem entender melhor a exposição potencial ao risco de seus serviços online.

A equipe da Salt-Labs também lançou uma ferramenta exclusiva para ajudar as empresas a avaliar seus próprios riscos de vulnerabilidades semelhantes com o objetivo de reduzir seu perfil de risco. Até agora, essa ferramenta era usada internamente pela Salt-Labs para identificar riscos e vulnerabilidades. Agora, os proprietários de um domínio/site interessados em avaliar seu risco podem clicar aqui para concluir gratuitamente sua verificação.