Nueva amenaza XSS explota los inicios de sesión sociales de OAuth y pone en riesgo millones de sitios web
Salt Labs, el brazo de investigación de la firma de seguridad API Salt Security, descubrió recientemente una importante vulnerabilidad de secuencias de comandos entre sitios (XSS) que tiene el potencial de afectar a millones de sitios web en todo el mundo. A diferencia de una vulnerabilidad de un producto que puede repararse de forma centralizada, este problema surge de la implementación de OAuth (una aplicación ampliamente utilizada para inicios de sesión sociales) dentro del código web. A pesar de la creencia común entre los desarrolladores de que las amenazas XSS son cosa del pasado, los hallazgos de Salt Labs resaltan una supervisión crítica en la seguridad web.
Tabla de contenido
La complacencia de la familiaridad
La facilidad de implementar OAuth para inicios de sesión sociales ha generado una sensación de complacencia entre los desarrolladores. Sin embargo, esta familiaridad puede conducir a errores importantes. La cuestión fundamental radica en la introducción de nuevas tecnologías y procesos en un ecosistema existente, que pueden alterar el equilibrio establecido. Esto no es un defecto de OAuth en sí, sino de cómo se implementa en varios sitios web. Salt Labs descubrió que sin un cuidado y rigor meticulosos, el uso de OAuth puede crear una nueva ruta XSS que evite las mitigaciones actuales, lo que podría conducir a apropiaciones completas de cuentas.
Estudios de caso: HotJar y Business Insider
La investigación de Salt Labs se centró en las implementaciones de dos empresas destacadas: HotJar y Business Insider. Estas empresas fueron elegidas debido a sus importantes posturas de seguridad y la importante cantidad de información de identificación personal (PII) que manejan. Si empresas tan importantes pueden implementar mal OAuth , la probabilidad de que sitios web más pequeños y con menos recursos cometan errores similares es alta. Yaniv Balmas, vicepresidente de investigación de Salt Security, reveló que se encontraron problemas similares de OAuth en sitios web como Booking.com, Grammarly y OpenAI, aunque no se incluyeron en el informe.
HotJar, en particular, se destacó por su amplia saturación de mercado y la gran cantidad de datos de usuarios que recopila. Al funcionar de manera similar a Google Analytics, HotJar registra los datos de la sesión del usuario, incluidas capturas de pantalla, clics del teclado y acciones del mouse. Estos datos pueden abarcar información confidencial como nombres, correos electrónicos, direcciones, mensajes privados, datos bancarios y credenciales. La vulnerabilidad descubierta permite a los atacantes explotar el proceso de inicio de sesión social de OAuth falsificando e interceptando secretos de inicio de sesión, obteniendo así acceso no autorizado a las cuentas de los usuarios.
La metodología del ataque
El método de ataque implica combinar XSS con el flujo de inicio de sesión de OAuth. Un enlace diseñado que imita una solicitud legítima de inicio de sesión social de HotJar inicia el ataque. Cuando una víctima hace clic en este enlace, el atacante puede interceptar los secretos de inicio de sesión, lo que lleva a la apropiación total de la cuenta. Esta vulnerabilidad subraya la importancia de las prácticas de implementación segura, que muchos sitios web pasan por alto o carecen de la experiencia para ejecutar.
Medidas y herramientas proactivas
En respuesta a estos hallazgos, Salt Labs publicó sus metodologías y una herramienta de escaneo gratuita para ayudar a los operadores de sitios web a identificar y abordar posibles problemas de implementación de OAuth XSS. Este enfoque proactivo tiene como objetivo mitigar los riesgos antes de que se conviertan en violaciones de seguridad importantes. Si bien Balmas advierte que no se puede garantizar el 100% del éxito, la herramienta proporciona un valioso sistema de alerta temprana para que las organizaciones fortalezcan sus posturas de seguridad.
El descubrimiento de Salt Labs sirve como un claro recordatorio de que incluso tecnologías ampliamente confiables como OAuth requieren una implementación diligente y segura. A medida que el panorama digital continúa evolucionando, también debe hacerlo nuestra vigilancia y compromiso con prácticas sólidas de ciberseguridad.