根據iThome 的報導近日針對OAuth進行的身分驗證攻擊不斷地傳出,駭客可以藉由OAuth攻擊來綁架Azure用戶的帳號來租賃伺服器並進行挖礦。
OAuth 全名為 Open Authorization,是一種安全授權協定。它允許第三方應用程式在使用者的同意下,存取該使用者在某一網站上的資訊,而無需將使用者的帳號密碼提供給第三方應用程式。OAuth 的主要目標是讓使用者能夠控制自己的資訊和資源,而不需要分享自己的憑證。
在企業端能做的是避免使用這種方式進行驗證,這樣可以避免一個服務遭到攻擊連累其他的服務。欣亞數位可以針對企業聯網的機器進行資安健檢,來避免這樣的漏洞存在,我們也會提供完整的報告並告知有哪些重大漏洞需要進行修補。