Авторизация через ВКонтакте ставит вашу безопасность под угрозу
Исследователи обнаружили опасную уязвимость в алгоритме OAuth, который реализует авторизацию через сторонние сервисы «в один клик». В результате халатности разработчиков и умелых действий хакеров миллиарды аккаунтов на различных площадках могут быть скомпрометированы.
Уязвимость заключается в возможности подмены специального «токена», который подтверждает идентичность пользователя. Оказывается, что многие сайты, в том числе крупные и популярные, не заморачиваются над его проверкой. Таким образом, злоумышленники могут подменить «токен» и попасть в чужой аккаунт, где им откроется доступ ко всем личным данным.
При этом сам алгоритм OAuth работает вполне корректно, проблемы вызваны действиями разработчиков, которые неправильно реализуют возможность входа через сторонние ресурсы. Потенциально, под угрозой находятся даже банковские и платёжные системы.
Из популярных платформ, где данная проблемы была обнаружена, специалисты назвали Grammarly, Vidio и Bukalapak, общее количество активных пользователей которых насчитывает 280 миллионов человек.