Hotjar的XSS和OAuth组合漏洞导致威胁数百万用户

网络安全专家发现领先的网络分析平台Hotjar存在严重漏洞,可能暴露全球品牌和企业数百万用户的敏感数据。

流行的网络分析提供商Hotjar被数百万个网站使用,包括微软、Adobe、松下、哥伦比亚、瑞安航空、迪卡侬、T-Mobile和任天堂,最近发现了一个漏洞,攻击者可以利用该漏洞访问敏感的用户数据。Salt Security的研究部门Salt Labs发现了这个漏洞,并已与Hotjar合作修复该问题。

该漏洞利用了过时的安全问题跨站点脚本(XSS)和广泛使用的身份验证协议OAuth的组合。尽管XSS长期以来被认为是一种可控的威胁,但Salt Labs的研究人员展示了如何将其与OAuth结合来劫持用户帐户。

这项研究强调,在不断发展的技术环境中,即使是看似过时的漏洞也可能构成重大风险。XSS和OAuth的结合创造了一个强大的攻击媒介,可能会影响数百万用户。

根据Salt Security周一在发布前分享的报告,攻击方法看似简单。用户会收到一个看似合法的链接,可能是通过电子邮件或社交媒体。点击该链接会在不知情的情况下授予攻击者对用户帐户的完全控制权,使他们能够访问任何存储的数据。

虽然Hotjar用户的直接威胁已经得到解决,但Salt Labs警告称,此漏洞可能存在于使用OAuth的其他Web服务中。OAuth的广泛使用以及潜在的XSS漏洞带来了令人担忧的安全形势。

这不仅仅是Hotjar的问题,也是整个行业的警钟。公司需要主动评估其安全措施,并确保他们得到充分保护,以抵御这些不断演变的威胁。

Salt Labs发布了一款免费工具,供网站所有者评估自己是否容易受到此类攻击。他们还敦促用户在点击链接时要小心谨慎,即使是那些看似来自可靠来源的链接。

此次最新发现是Salt Security此前发现流行的AI工具ChatGPT中存在OAuth漏洞之后的又一发现,进一步凸显了API安全在当今互联世界中的重要性。随着对在线服务的依赖性不断增长,积极的安全措施对于保护用户数据和维持信任至关重要。

发表评论

评论已关闭。

相关文章