แฮ็กเกอร์แอบอ้างเป็นทีมรักษาความปลอดภัย และการสรรหาบุคลากรของ GitHub ใช้การโจมตีแบบฟิชชิ่งเพื่อ hijack repositories โดยใช้แอป OAuth ที่เป็นอันตราย ในแคมเปญการข่มขู่ลบข้อมูลบน repositories ที่ถูกแฮ็ก
(more…)
แฮ็กเกอร์แอบอ้างเป็นทีมรักษาความปลอดภัย และการสรรหาบุคลากรของ GitHub ใช้การโจมตีแบบฟิชชิ่งเพื่อ hijack repositories โดยใช้แอป OAuth ที่เป็นอันตราย ในแคมเปญการข่มขู่ลบข้อมูลบน repositories ที่ถูกแฮ็ก
(more…)
Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก
Jing เรียกช่องโหว่นี้ว่า "Covert Redirect" เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูกใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจากเว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้)
ทางแก้ไขช่องโหว่นี้คือ เว็บไซต์ที่เปิดให้ล็อกอินผ่าน OAuth/OpenID เช่น Facebook, Google, LinkedIn จะต้องเพิ่มมาตรการตรวจสอบเว็บไซต์ปลายทางด้วยวิธีการ white-list ซึ่งตอนนี้เว็บไซต์ชื่อดังหลายแห่งก็ได้รับข้อมูลช่องโหว่โดยละเอียดจาก Jing แล้ว และกำลังสอบสวนหรือหามาตรการแก้ไขอยู่ เช่น LinkedIn ประกาศให้เว็บปลายทางที่อยากล็อกอินผ่านตัวเองต้องลงทะเบียนใน white-list เสมอ
Jing ไม่ได้เผยข้อมูลรายละเอียดของช่องโหว่นี้ต่อสาธารณะ แต่ผู้เชี่ยวชาญความปลอดภัยหลายๆ คนเห็นรายละเอียดแล้วก็ลงความเห็นว่าเป็นช่องโหว่จริงๆ ที่ส่งผลกระทบในวงกว้าง แม้จะไม่เท่ากับปัญหา Heart bleed ก็ตาม
ที่มา : cnet