Grammarly ha annunciato con orgoglio di aver risolto le vulnerabilità di accesso che erano state portate alla sua attenzione da ricercatori nel campo della sicurezza informatica.
Una buona notizia che traccia anche la via del comportamento etico che andrebbe tenuto nei confronti degli utenti e che si denota per pro attività.
Protagonista della segnalazione è stata Salt Security, azienda leader nel settore della sicurezza API, che mercoledì 23 ottobre aveva pubblicato una nuova ricerca sulle minacce condotta dai suoi Salt Labs evidenziante le vulnerabilità della sicurezza API scoperte nell’accesso social e nell’autenticazione aperta (OAuth) adottata da più società online, tra cui Grammarly, Vidio e Bukalapak.
Il bug interessava l’accesso social – ossia la richiesta di accesso ad un servizio web mediante le proprie credenziali esistenti per una piattaforma come Facebook o Google – per degli errori nelle implementazioni del protocollo comune di Open Authentication.
Un portavoce di Grammarly ha espresso tutta la propria gratitudine verso Salt Security.
Con un bacino di più di 30 milioni di utenze che utilizzano quotidianamente lo strumento AI al fine di rivedere i propri testi, il danno potenziale in caso di esfiltrazione dati sarebbe potuto essere elevatissimo.
Secondo il report la vulnerabilità non ha avuto originato fortunatamente compromissioni di account.
I problemi riscontrati erano legati non tanto al prodotto, quanto al modo in cui OAuth viene implementato dalle varie parti che lo impiegano.
L’estrema utilità del Social-Login e la facilità con cui può essere implementato a livello base, ne fanno uno strumento di elevatissimo successo che però necessita di maggior consapevolezza e tecnica per un inserimento sicuro.
In questo caso, la tecnica utilizzata “Pass-The-Token Attack” permetteva di aggirare il protocollo inserendo un token verificato da un altro sito ed utilizzarlo per accedere all’account utente.
( https://attack.mitre.org/techniques/T1550/ )
Un caso similare, sempre rilevato e notificato da Salt Security aveva interessato ed era stato risolto ad inizio anno sulla piattaforma Booking.com
La riflessione su come applicazioni di login facilitato tramite social possano rientrare nel mirino di attori malevoli non dovrebbe essere presa con leggerezza, come pure andrebbe riconsiderato il suo utilizzo massivo, rivedendolo secondo più precise e consapevoli azioni di testing e configurazione, o secondo sue rielaborazioni che magari non lascino esposti direttamente i possibili dati social reali degli utenti.
#cybersecurity #patch #grammarly #saltsecurity #oauth #vulnearbilitysolved #cybereducation #cyberthreat
