この調査は、 のセキュリティアナリストであるAndrew Paverと、自立した研究者であるAvinash Sudhodananによって収集されたデータに基づいています。この2人は75件以上の申請を経て、そのうち最大35件がそのような不正行為にさらされていることが明らかになりました。
これらのサイトのほとんどは、バグの問題を強調するために誰でも公開されていますが、そのような攻撃にさらされているという事実は衝撃的です。
サイバーハッカーは、被害者の電子メールアドレスを手に入れることによって活動を開始します。その後、電子メールは、そのような脅威のあるサイトにユーザープロファイルを作成するために使用されます。被害者は通常、このような通知を無視し、攻撃者はこのアクションを利用することができます。3番目の最後のステップは、被害者がこれらのサイトの1つでアカウントを作成するように誘惑される場所です。
この手順中に、5つの異なるアクションが被害者に当たる可能性があります。最初の種類の攻撃は、クラシック フェデレーション マージと名付けられました。このシナリオでは、既存の電子メールを使用してプロファイルが作成され、実際の電子メール アドレスの所有者はこれを認識していません。被害者にはシングルサインインオプションが提供され、利用可能になると、ユーザーはパスコードを変更する必要がなくなり、ハッカーはログインしたままにすることができます。
2 番目のタイプは有効期限が切れていないログインで、ログインセッションは自己操作スクリプトの助けを借りてライブのままです。その後、実際のユーザーがログイン資格情報を変更しても、ハッカーの既にログインしているセッションは影響を受けません。
3 番目のタイプは、1 番目と 2 番目のタイプの両方が同時に使用され、トロイの木馬識別子と名付けられたタイプです。これは、検証のために IdP アドレスをプロファイルにリンクすることによって行われ、後で資格情報が変更された場合、フェデレーション検証ルートを介してハイジャッカーがアクセスできるようになります。
4 つ目は、プロファイルの作成後に電子メール アドレスの更新要求が表示される場所です。この要求は処理されません。その後、ログイン情報が更新されると、攻撃者はそれを自由に使用して引き継ぐことができます。
最後のタイプは、被害者がアカウント作成時にIdPを保持すると脅かされ、Oktaなどのログインサービスを悪用する機会を与える場所です。
ほとんどのサイトでは、電子メールの更新時に2段階認証を要求しないため、検証は破棄できますが、状況によっては、アカウントは別の電子メールで作成されますが、後で被害者の電子メールに置き換えられます。
彼らのほとんどはそれを修理しました。多くのサイトやアプリケーションは、サインアッププロセスをユーザーフレンドリーにしたいと考えています。彼らはセキュリティの脅威にあまり注意を払っていません。ただし、2 段階認証を設定すると、ユーザーがこのような攻撃から身を守るのに役立ちます。
