Los investigadores de seguridad han revelado vulnerabilidades críticas dentro del proveedor de análisis web Hotjar y el medio de noticias global Business Insider. Los hallazgos, de Salt Labs, indican mayores riesgos para las empresas. Hotjar, utilizado junto con Google Analytics, recopila una gran cantidad de datos personales y confidenciales, incluida la actividad de la pantalla del usuario, PII, mensajes privados e incluso credenciales en algunos casos. Impacto potencial en las principales marcas Al servir a más de un millón de sitios web, incluidas las principales marcas como Adobe, Microsoft, T-Mobile y Nintendo, estas vulnerabilidades podrían haber otorgado potencialmente a los atacantes acceso ilimitado a datos confidenciales, lo que afecta a millones de usuarios y organizaciones en todo el mundo. Estas vulnerabilidades no se limitan a Hotjar y Business Insider, sino que sugieren un problema más amplio dentro de ecosistemas similares. La investigación, publicada hoy, enfatiza la persistencia de las vulnerabilidades de secuencias de comandos entre sitios (XSS), un problema desde los primeros días de Internet. Aunque mitigado con el tiempo, la integración de nuevas tecnologías ha reintroducido estos fallos históricos, aumentando significativamente los riesgos de seguridad. Combinación de XSS con OAuth para infracciones graves La investigación de Salt Labs destaca cómo XSS combinado con OAuth, el protocolo de autenticación y autorización predominante, puede provocar infracciones graves. OAuth es ampliamente utilizado, a menudo sin saberlo, por miles de servicios web, especialmente aquellos que ofrecen funciones de inicio de sesión social. Al explotar estas vulnerabilidades, los investigadores demostraron la capacidad de apoderarse de las cuentas de Hotjar y Business Insider. «El riesgo asociado con este tipo de ataques depende naturalmente del tipo de objetivo, qué información almacenan, qué funcionalidad proporcionan, etc.», explicó Yaniv Balmas, vicepresidente de investigación de Salt Security. «En general, se puede decir que un atacante que explota con éxito este vector de ataque obtendrá los mismos permisos y funcionalidades que la víctima y, por lo tanto, el riesgo será paralelo a lo que realmente puede hacer un usuario normal del sistema». Método de explotación Para explotar esta vulnerabilidad, un atacante generalmente envía un enlace de apariencia legítima por correo electrónico, mensaje de texto o redes sociales, engañando a las víctimas para que hagan clic en él. Una vez que se hace clic, el atacante obtiene el control total de la cuenta, lo que le permite realizar cualquier acción y acceder a todos los datos almacenados. Lea más sobre las implicaciones de las vulnerabilidades de OAuth: Expo Framework API Flaw revela datos de usuario en servicios en línea Este problema no se limita a los dos objetivos analizados. Dada la popularidad de OAuth y la prevalencia de problemas XSS, es probable que muchos otros servicios web sean vulnerables. Esto subraya los riesgos inherentes asociados con el uso de API empaquetadas. «Como siempre, al implementar cualquier tecnología nueva, se deben considerar muchas cosas, incluida, por supuesto, la seguridad», agregó Balmas. «Una implementación sólida que considere todas las opciones posibles debe ser segura y no le permitirá a un atacante la oportunidad de abusar de este vector de ataque». Los nuevos datos llegan meses después de que Salt Security revelara vulnerabilidades críticas de OAuth en la herramienta de inteligencia artificial ChatGPT.