Cyberthreat.id - Kelemahan keamanan kritis telah terungkap dalam penerapan Otorisasi Terbuka (OAuth) pada layanan online populer seperti Grammarly, Vidio, dan Bukalapak, yang memanfaatkan kelemahan sebelumnya yang ditemukan dalam Booking[.]com dan Expo.

Kelemahan tersebut, yang kini telah diatasi oleh masing-masing perusahaan setelah pengungkapan yang bertanggung jawab antara bulan Februari dan April 2023, dapat memungkinkan pelaku kejahatan mendapatkan token akses dan berpotensi membajak akun pengguna.

OAuth adalah standar yang biasa digunakan sebagai mekanisme akses lintas aplikasi, memberikan situs web atau aplikasi akses ke informasi mereka di situs web lain, seperti Facebook, tetapi tanpa memberikan kata sandinya.

“Ketika OAuth digunakan untuk menyediakan otentikasi layanan, pelanggaran keamanan apa pun di dalamnya dapat menyebabkan pencurian identitas, penipuan keuangan, dan akses ke berbagai informasi pribadi termasuk nomor kartu kredit, pesan pribadi, catatan kesehatan, dan banyak lagi, tergantung pada layanan spesifik yang digunakan yang diserang," kata peneliti Salt Security, Aviad Carmel, kepada The Hacker News.

Masalah yang teridentifikasi di Vidio berasal dari tidak adanya verifikasi token, yang berarti penyerang dapat menggunakan token akses yang dihasilkan untuk ID Aplikasi lain, yaitu pengidentifikasi acak yang dibuat oleh Facebook untuk setiap aplikasi atau situs web yang terdaftar di portal pengembangnya.

Dalam skenario serangan potensial, pelaku ancaman dapat membuat situs web jahat yang menawarkan opsi masuk melalui Facebook untuk mengumpulkan token akses dan kemudian menggunakannya terhadap Vidio.com (yang memiliki ID Aplikasi 92356), sehingga memungkinkan pengambilalihan akun secara penuh.

Perusahaan keamanan API mengatakan pihaknya juga menemukan masalah serupa dengan verifikasi token di Bukalapak.com melalui login Facebook yang dapat mengakibatkan akses akun tidak sah.

Di Grammarly, diketahui bahwa ketika pengguna mencoba masuk ke akun mereka menggunakan opsi "Masuk dengan Facebook", permintaan HTTP POST dikirim ke auth.grammarly[.]com untuk mengautentikasi mereka menggunakan kode rahasia.

Oleh karena itu, meskipun Grammarly tidak rentan terhadap serangan penggunaan kembali token seperti yang terjadi pada Vidio dan Bukalapak, Grammarly tetap rentan terhadap masalah lain di mana permintaan POST dapat diubah untuk mengganti kode rahasia dengan token akses yang diperoleh. dari situs web jahat yang disebutkan di atas untuk mendapatkan akses ke akun.

“Dan seperti situs lainnya, penerapan Grammarly tidak melakukan verifikasi token,” kata Carmel, sambil menambahkan, “pengambilalihan akun akan memberikan penyerang akses ke dokumen yang disimpan korban.”[]