Foram divulgadas falhas de segurança críticas na implementação do Open Authorization (OAuth) em serviços online populares como Grammarly, Vidio e Bukalapak. Essas falhas foram corrigidas pelas respectivas empresas entre fevereiro e abril de 2023.

OAuth é um padrão comumente usado para acesso entre aplicações, permitindo que sites ou aplicativos acessem informações em outros sites, como o Facebook, sem fornecer as senhas.

As falhas poderiam permitir que atores maliciosos obtivessem tokens de acesso e, potencialmente, assumissem o controle das contas dos usuários. No caso da plataforma Vidio, o problema identificado estava na ausência de verificação de token. Isso significava que um atacante poderia usar um token de acesso gerado para outro App ID.

Um cenário de ataque potencial envolveria a criação de um site falso que oferece uma opção de login através do Facebook para coletar os tokens de acesso e usá-los contra Vidio.com.

A empresa de segurança de API também descobriu um problema semelhante com a verificação de token no Bukalapak.com via login no Facebook, que poderia resultar em acesso não autorizado à conta.

Em Grammarly, quando os usuários tentam fazer login em suas contas usando a opção “Entrar com o Facebook”, uma solicitação HTTP POST é enviada para autenticá-los usando um código secreto. O problema em Grammarly é que a solicitação POST pode ser alterada para substituir o código secreto por um token de acesso obtido de um site malicioso, permitindo o acesso à conta.