Salt Security aprimora segurança de API com pacote de proteção OAuth

A Salt Security anunciou o lançamento de seu pacote de proteção do protocolo de autorizações abertas (OAuth) em camadas para detectar tentativas de explorar este acesso cada vez mais popular e corrigir proativamente vulnerabilidades. A Salt está aprimorando sua Plataforma de Proteção de API com uma suíte abrangente que permite detectar novas ameaças, gerando regras de postura para abordar o desafio crescente de exploração do OAuth. A empresa afirma ser a primeira fornecedora de segurança de APIs a lançar capacidades de detecção profunda de ameaças desta modalidade de acesso, e essas inovações permitirão que as organizações identifiquem e mitiguem tentativas maliciosas de explorar esta opção de autenticação, protegendo, em última análise, dados sensíveis e contas de usuários.

Atualmente, o OAuth é uma parte importante dos modernos frameworks de autorização, concedendo acesso a recursos em diferentes aplicativos facilmente. No entanto, vulnerabilidades nas implementações do OAuth podem criar riscos significativos de segurança. Ao implementar controles de segurança do OAuth fortes, as organizações podem proteger os dados de seus usuários, evitar acesso não autorizado a recursos críticos e manter a confiança do usuário.

Uma investigação recente da Salt Security expôs várias falhas críticas de segurança nas implementações do OAuth de plugins populares do ChatGPT. Os plugins do ChatGPT permitem que a ferramenta interaja com o mundo externo e sites de terceiros como Google Drive, GitHub, Emails e mais. Além deste exemplo mais recente de ameaças do OAuth com o ChatGPT, a equipe da Salt Labs encontrou várias outras vulnerabilidades exploráveis específicas do OAuth dentro de sites como Booking.com, Grammarly, Vidio.com e Expo/CodeCademy. Esta realidade aponta para a necessidade crítica de gerar ferramentas capazes de ajudar a identificar e mitigar esses tipos de riscos antes que os atacantes possam se aproveitar. Esses exemplos do mundo real destacam a importância de medidas de segurança robustas para frustrar táticas sofisticadas de ataque do OAuth antes que possam causar danos significativos.

Com essas novas capacidades, a plataforma da Salt abrange:

Roubo de tokens de acesso e código de autorização: vulnerabilidades nos sistemas do OAuth podem deixar tokens de acesso ou códigos de autorização suscetíveis a roubos. Os atacantes podem aproveitar o acesso ilegal a esses elementos para se passar por usuários legítimos e obter acesso não autorizado a recursos e aplicativos sensíveis.

Aumento dos ataques do OAuth: o OAuth está em uso generalizado há mais de uma década, mas os ataques estão agora em alta. Isso é causado pelo aumento do uso de APIs e microsserviços pelas organizações, tornando o OAuth ainda mais popular e aumentando a complexidade de sua segurança. Os atacantes se aproveitaram disso criando ataques específicos com tentativas contínuas de encontrar vulnerabilidades adicionais do OAuth para explorar.

O Pacote de Proteção do OAuth da Salt Security fornece defesas robustas que ajudam as organizações a alcançarem diversos objetivos críticos de segurança. Com esses aprimoramentos, contas de clientes, propriedade intelectual e tokens de autorização serão protegidos de atores maliciosos que estão incessantemente tentando explorar vulnerabilidades nas implementações do OAuth. Apenas cinco dias após o lançamento do pacote de proteção do OAuth para os clientes da Salt, ele detectou uma vulnerabilidade dentro de uma grande instituição financeira. Com as informações sobre a detecção, o cliente foi capaz de corrigir rapidamente a falha, evitando que fosse explorada por atores de ameaças.

“As organizações que demonstram um compromisso com práticas robustas de segurança promovem a confiança do usuário e melhoram a reputação da marca, levando a relacionamentos mais fortes com os clientes e a uma vantagem competitiva no mercado”, disse Yaniv Balmas, vice-presidente de Pesquisa da Salt Security. “Com o aumento das vulnerabilidades específicas do OAuth, é vital para as organizações incorporarem medidas de segurança robustas para frustrar táticas sofisticadas de ataque antes que possam causar danos significativos. Ao implementar controles de segurança do OAuth fortes, as organizações podem proteger os dados de seus usuários, evitar acesso não autorizado a recursos críticos e manter a confiança do usuário”, afirmou.