Peneliti keamanan telah mengungkapkan bahwa peretas dapat membajak akun online Anda bahkan sebelum Anda mendaftarkannya dengan mengeksploitasi kelemahan yang telah diperbaiki di situs web populer, termasuk Instagram, LinkedIn, Zoom, WordPress, dan Dropbox.
Andrew Paverd, seorang peneliti di Microsoft Security Response Center, dan Avinash Sudhodanan, seorang peneliti keamanan independen, menganalisis 75 layanan online populer dan menemukan bahwa setidaknya 35 rentan terhadap serangan pra-pembajakan akun.
Serangan ini bervariasi dalam jenis dan tingkat keparahannya, tetapi semuanya berasal dari praktik keamanan yang buruk di sisi situs web itu sendiri.
Agar serangan pra-pembajakan bekerja, peretas perlu mengetahui alamat email target, yang relatif mudah melalui korespondensi email atau melalui berbagai pelanggaran data yang mengganggu perusahaan setiap hari.
Selanjutnya, penyerang membuat akun di situs yang rentan menggunakan alamat email target dan berharap korban mengabaikan pemberitahuan yang masuk ke kotak masuk mereka, menganggapnya sebagai spam. Terakhir, penyerang menunggu korban membuat akun di situs atau secara tidak langsung menipu mereka untuk melakukannya.
Selama proses ini, ada lima serangan berbeda yang dapat dilakukan oleh aktor ancaman, yaitu gabungan federasi klasik (CFM), ID sesi yang belum kedaluwarsa (AS), pengenal trojan (TID), perubahan email yang belum kedaluwarsa (UEC), dan Serangan penyedia identitas (IdP) (NV) yang tidak memverifikasi.
Dalam kasus pertama, CFM, platform yang rentan menggunakan penggabungan akun ketika target membuat akun dengan alamat email yang ada dan, dalam beberapa kasus, bahkan tidak memberi tahu mereka tentang fakta tersebut. Serangan ini bergantung pada pemberian opsi masuk tunggal (SSO) kepada korban, sehingga mereka tidak pernah mengubah kata sandi yang ditetapkan oleh penyerang.
Dalam serangan sesi yang belum kedaluwarsa, peretas membuat sesi tetap aktif setelah membuat akun menggunakan skrip otomatis. Saat korban membuat akun dan mengatur ulang kata sandi, sesi aktif mungkin tidak dibatalkan, sehingga penyerang dapat terus mengakses akun.
Metode pengenal trojan menggabungkan serangan Classic-Federated Merge dan Unexpired Session.
Dalam serangan UEC, penyerang membuat akun menggunakan alamat email korban dan kemudian mengirimkan permintaan perubahan untuk email itu tetapi tidak mengonfirmasinya. Kemudian, setelah korban melakukan reset kata sandi, penyerang memvalidasi perubahan dan mengambil alih kendali akun.
Terakhir, dalam serangan NV, pelaku ancaman mengeksploitasi kurangnya verifikasi kepemilikan IdP saat membuat akun, membuka jalan untuk menyalahgunakan layanan login berbasis cloud seperti Okta dan Onelogin.
Banyak layanan saat ini mengharuskan pengguna baru untuk memvalidasi kepemilikan alamat email, sehingga membuat akun baru dengan alamat email orang lain tidak akan berfungsi tanpa akses ke akun email tersebut.
Untuk melewati ini, penyerang dapat membuat akun menggunakan alamat email mereka dan kemudian beralih ke alamat email korban, menyalahgunakan fungsi standar yang tersedia di sebagian besar layanan online.
Dalam beberapa kasus, layanan tidak memerlukan verifikasi kedua untuk alamat email baru, yang memungkinkan pelaku ancaman untuk memasang serangan yang dijelaskan di atas.
Studi menunjukkan bahwa ketersediaan serangan yang berbeda serupa, dengan masalah sesi yang belum kedaluwarsa menjadi yang paling umum dalam kumpulan data terbatas.
Beberapa contoh platform yang rentan adalah Dropbox (UEC), Instagram (TID), LinkedIn (AS), WordPress.com (AS dan UEC), dan Zoom (CFM dan NV).
Para peneliti melaporkan masalah ini secara bertanggung jawab ke platform, banyak di antaranya memperbaikinya setelah mengkategorikannya sebagai tingkat keparahan yang tinggi.
Namun, penting untuk digarisbawahi bahwa temuan ini hanya menyangkut segelintir situs, dan harus ada lebih banyak lagi yang mengikuti praktik keamanan buruk serupa.
Masalah utama dengan subkategori masalah keamanan ini dan akar penyebab kerentanan yang teridentifikasi adalah kurangnya verifikasi yang ketat.
Untuk menangani risiko akun yang dibajak sebelumnya, pengguna dapat segera mengatur MFA (autentikasi multi-faktor) di akun mereka, yang juga akan memaksa semua sesi sebelumnya menjadi tidak valid.
Sumber: Bleeping Computer