Уязвимость протокола OAuth угрожала данным пользователей Grammarly

Популярный сервис проверки правописания Grammarly исправил уязвимость, которая позволяла потенциальным злоумышленникам получить доступ к данным пользователей. Под угрозой были те, кто авторизовался на платформе при помощи учетной записи Google или соцсетей. Из-за особенности открытого протокола аутентификации OAuth данные логины и пароли пользователей оказались в опасности.

Проблему обнаружили исследователи Salt Security. Оказалось, что она свойственна сразу нескольким продуктам, например, индонезийскому сервису стриминговых видео Vidio.

В Grammarly поблагодарили исследователей за обнаружение уязвимости. Отмечается, аккаунты пользователей Grammarly не были скомпрометированы. Ежедневно сервисом пользуются порядка 30 миллионов человек.

Эксперты Salt Security уточняют, что многие использующие протокол OAuth могут оказаться уязвимы по похожей схеме. Технику атаки назвали Pass-The-Token, поскольку для входа на платформу требуется верифицированный токен. Однако, когда Grammarly не удалось подтвердить токен, исследователи использовали собственный с другого сайта и успешно получили доступ к данным пользователей.