Na het lek in versleutelprotocol OpenSSL waardoor – normaliter – beveiligde informatie van een zeer groot aantal websites eenvoudig te ontfutselen bleek (u kent het waarschijnlijk als ‘Heartbleed’), is de tech-community wederom in rep en roer vanwege een nieuw beveiligingslek. Door hiervan gebruik te maken kunnen kwaadwillenden zich als een betrouwbare partij voordoen en zodoende jouw persoonsgegevens buitmaken.
OAuth & OpenID
Het gaat dit keer om een probleem met ondermeer het autorisatieprotocol ‘OAuth’, dat met name door sociale netwerken wordt gehanteerd. Kort gezegd zorgt deze standaard ervoor dat je, als internetgebruiker, via een pop-up een applicatie of website toegang tot jouw persoonsgegevens kunt geven, zonder dat je daarvoor je gebruikersnaam of wachtwoord hoeft in te voeren. Zo kun je bijvoorbeeld de mateloos populaire spellen op Facebook spelen zonder dat je daarvoor je inloggegevens aan een Farmville hoeft af te geven. Deze apps krijgen na toestemming toegang tot (een deel van) jouw persoonsgegevens.
Ook OpenID bleek getroffen door het beveiligingslek. Dit authenticatiemechanisme zorgt ervoor dat jouw browsersessie wordt onthouden en je bij het bezoeken van bijvoorbeeld blogsystemen als WordPress niet bij ieder nieuw bezoek aan een WordPress-pagina opnieuw hoeft in te loggen.
Covert Direct
Een Singaporese student heeft recentelijk echter ontdekt dat het eenvoudig is om beide authenticatieprotocollen te kraken, door gebruik te maken van het ‘Covert Direct’-lek. Daarmee is het mogelijk om als malafide aanbieder een app door gebruikers te laten autoriseren, als ware afkomstig van een legitieme bron als Facebook, waarna de persoonsgegevens van nietsvermoedende gebruikers niet naar de beoogde applicatie, maar naar deze aanvaller worden doorgespeeld. Nu het voor de gemiddelde gebruiker niet te ontdekken is dat de autorisatiemelding niet afkomstig is van de vertrouwde aanbieder, is het lek des te gevaarlijker.
Overigens waarschuwde Eran Hammer, ontwikkelaar van het originele OAuth-protocol, dat er met de release van versie 2.0 in 2012 reeds kritieke beveiligingsrisico’s waren ontstaan. Hoe dan ook bleven passende acties uit, ondanks het grote aantal potentieel geraakte gebruikers.
‘Geen lek maar feature’
Verschillende beveiligingsexperts doen het Covert Direct-lek nu echter enkel af als een feature die door verschillende websitehouders niet naar behoren is geïmplementeerd. Enkel als een bepaalde functionaliteit in één van de protocollen kan worden uitgeschakeld, kan de gebruiker door een aanvaller worden doorgeleid naar een ander domein. Kennelijk is het echter voor websitehouders eenvoudig mogelijk om ervoor te zorgen dat aanvallers geen gebruik van dit lek meer kunnen maken, door bijvoorbeeld de gevraagde Uniform Resource Identifier te valideren of door de aangeboden apps van te voren te whitelisten.
De schuld voor het lekken van persoonsgegevens wordt momenteel dan ook voor het grootste deel bij de websitehouders zelf gelegd. Het is hoe dan ook lastig om in te schatten hoeveel persoonsgegevens zijn buitgemaakt door misbruik van dit ‘lek’. Eens te meer blijkt echter dat er vraagtekens kunnen worden gezet bij de veiligheid van onze persoonsgegevens en de cybersecurity in het algemeen. Het lijkt dan ook niet de vraag óf een dergelijk groot beveiligingslek zich nog eens zal voordoen, maar wanneer dat weer zal gebeuren.