API安全公司Salt Security警告称，社交登录机制的缺陷使得数以千计的网站和10亿用户容易被账户接管。Grammarly、Vidio和Bukalapak上易受的实现已经得到修复。

Salt Security的最新研究确定了社交登录过程的访问令牌验证步骤中的缺陷，这是这些网站上OAuth实施的一部分。

OAuth就像一把数字钥匙，允许网站或应用程序“一键”访问另一个服务的某些信息，而不需要密码。受到网站和用户的青睐，OAuth通过利用用户的社交媒体账户（如Google或Facebook）来验证用户身份。

然而，对于这种类型的登录，站点必须验证提供的令牌以批准访问，这是许多站点无法做到的。因此，盐类实验室的研究人员能够从另一个站点插入一个令牌，作为经过验证的令牌，并访问用户帐户。这种技术被称为“传令牌攻击”。

研究人员警告说：“这些漏洞可能已经影响了这三个网站的近10亿用户帐户。”

据称，发现的漏洞允许犯罪分子访问数十个网站上的用户帐户，包括银行、支付和其他敏感数据。黑客也可以代表该用户执行任何操作，从而导致身份盗窃和金融欺诈。

例子包括格莱玛利，视频，和布卡拉帕克。

根据这份报告，多家在线公司在协调披露后纠正了这些缺陷。然而，成千上万的其他网站使用准确的登录机制，使他们容易受到相同类型的攻击。这使全球数十亿人面临危险。

Vidio：一个每月有1亿活跃用户的在线视频流平台，提供一系列内容，包括电影、电视节目、现场体育和原创产品。SALT实验室的研究人员在通过Facebook登录时发现了OAuth的安全漏洞。

“由于Vidio.com网站没有验证网站开发人员必须做的令牌，而不是OAuth本身，攻击者可以操纵API调用来插入为不同应用程序生成的访问令牌。这种交替的令牌/appId组合允许盐类实验室的研究团队在视频站点上模拟用户，这将允许对数千个帐户进行大规模的帐户接管，“研究人员说。

布卡拉帕克：拥有超过1.5亿个月用户，布卡拉帕克是印尼最大的电子商务平台之一。当用户使用社交登录注册时，它也无法验证访问令牌。

“因此，通过插入一个来自另一个网站的令牌，盐实验室团队可以访问一个用户在bukalapak.com的凭据，并完全接管该用户的帐户，”报告说。

Grammarly：这个人工智能写作工具通过提供语法、标点、拼写检查和其他写作技巧，提高了超过3000万的日常用户的写作水平。然而，来自Salt Labs的研究人员能够操纵API交换，以插入用于验证不同网站上的用户的代码，并再次获得用户帐户的凭据，并实现完整的帐户接管。

Salt Security研究副总裁Yaniv Balmas表示:”OAuth是AppSec领域中采用速度最快的技术之一，并已迅速成为用户授权和身份验证最流行的协议之一。“Salt Labs的研究说明了OAuth实现问题对企业及其客户的潜在影响。

Salt Security State of API Security Report（Q1.2023）显示，在过去六个月内，唯一攻击者数量增加了400%。43%的受访者高度关注Account收购。