Auth0 исправила уязвимость обхода аутентификации

Auth0 исправила уязвимость обхода аутентификации

Платформа Auth0 была подвержена уязвимости обхода аутентификации, которая открывала злоумышленникам возможность взлома учетных данных. Как сообщается в отчёте Auth0, разработчикам компании удалось полностью исправить уязвимость за несколько месяцев.

5 октября 2017 года компания Cinta Infinita сообщила Auth0 об обнаруженной уязвимости в Legacy Lock API (CVE-2018-6873). Истоком этой уязвимости стала некорректная проверка параметров в JSON Web Tokens (JWT). Исследователи компании протестировали уязвимость и им удалось обойти аутентификацию. Они осуществили межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0, которую инициировала ошибка CVE-2018-6874.

Злоумышленникам для взлома учетных данных платформы Auth0 достаточно знать идентификатор или адрес электронной почты.

Демонстрация атаки

Как сейчас известно, Auth0 исправила ошибку с токенами выпустив новые версии SDK (auth0.js 9 и Lock 11) в течение нескольких часов после сообщения от Cinta Infinita, а вот перерабатывать уязвимые библиотеки компании пришлось несколько месяцев.

Auth0 обеспечивает модель аутентификации для большого числа платформ: в день она управляет 42 миллионами логинов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакер взломал умную камеру американской семьи и объявил о войне с КНДР

Семья, проживающая в городе Оринда, штат Калифорния, стала жертвой неизвестного киберпреступника, которому удалось взломать их умную камеру, разработанную компанией Nest. Злоумышленник решил подшутить над добропорядочными гражданами — используя умную камеру, он запустил предупреждение о начале войны между Штатами и Северной Кореей.

Обычная американская семья в этот момент смотрела по телевизору чемпионат Национальной футбольной конференции (НФК). Внезапно их испугал звук сирен и предупреждение о том, что КНДР запустила три межконтинентальные баллистические ракеты, которые должны поразить Лос-Анджелес, Чикаго и Огайо.

Далее было объявлено, что у всех граждан, проживающих в этих регионах, есть всего три часа на эвакуацию. Также хакер заявил об ответном ударе США.

Спустя пять минут члены семьи заподозрили неладное — ведь трансляция футбола по телевизору не прервалась в связи с войной.

В итоге, как передает издание Fast Company, испуганные граждане выяснили, что во всем виновата камера Nest, после чего они связались с поддержкой клиентов. В процессе этого общения стало ясно — неизвестный киберпреступник взломал камеру и напугал семью.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru