Auth0 исправила уязвимость обхода аутентификации

Auth0 исправила уязвимость обхода аутентификации

Платформа Auth0 была подвержена уязвимости обхода аутентификации, которая открывала злоумышленникам возможность взлома учетных данных. Как сообщается в отчёте Auth0, разработчикам компании удалось полностью исправить уязвимость за несколько месяцев.

5 октября 2017 года компания Cinta Infinita сообщила Auth0 об обнаруженной уязвимости в Legacy Lock API (CVE-2018-6873). Истоком этой уязвимости стала некорректная проверка параметров в JSON Web Tokens (JWT). Исследователи компании протестировали уязвимость и им удалось обойти аутентификацию. Они осуществили межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0, которую инициировала ошибка CVE-2018-6874.

Злоумышленникам для взлома учетных данных платформы Auth0 достаточно знать идентификатор или адрес электронной почты.

Демонстрация атаки

Как сейчас известно, Auth0 исправила ошибку с токенами выпустив новые версии SDK (auth0.js 9 и Lock 11) в течение нескольких часов после сообщения от Cinta Infinita, а вот перерабатывать уязвимые библиотеки компании пришлось несколько месяцев.

Auth0 обеспечивает модель аутентификации для большого числа платформ: в день она управляет 42 миллионами логинов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники взимают предоплату жилья от имени ЦИАН

В Рунете наблюдается рост количества мошеннических сайтов, имитирующих базу недвижимости ЦИАН. Ссылки на них размещаются на профильных досках объявлений — Avito, «Юла». Схема обмана при этом стандартна: потенциальному арендатору предлагают внести предоплату; получив перевод, «арендодатель» исчезает.

Как стало известно «Ъ», за последний месяц в российском сегменте интернета появилось около десятка поддельных сайтов ЦИАН. Активизацию мошенников на рынке недвижимости эксперты связывают с ростом спроса на жилье, сдаваемое внаем. Так, по данным Avito, в третьем квартале спрос на долгосрочную аренду вырос на 75% и превысил прошлогодний показатель за такой же период на 31%.

Для борьбы с мошенничеством в сфере недвижимости ЦИАН создал специальную рабочую группу, в помощь которой были наняты сторонние специалисты. На сервисе ведутся работы по предупреждению подписчиков и блокировке доступа к их контактам.

На Avito с этой целью давно действует запрет на отправку ссылок в мессенджере. Пользователям рекомендуют обсуждать детали сделок только на онлайн-платформе. Операторы «Юлы», со своей стороны, заверили журналистов, что проблему мошенничества они с успехом решают с помощью многоуровневой системы безопасности и поведенческого анализа на основе технологии нейронных сетей.

В целом количество мошеннических доменов в Рунете стало увеличиваться. Так, во второй половине текущего года эксперты зафиксировали более чем двукратный рост числа имитаций известных российских сервисов, счет которых уже идет на тысячи. Эта тенденция стала особенно заметной в октябре, в канун самого большого в году сезона праздничных распродаж.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru