Übernahme von Hotjar-Accounts über XSS-Sicherheitslücke möglich

Ein Forscher-Team von SaltLabs veröffentlichte am 29. Juli 2024 einen Sicherheitsbericht zu einer XSS-Sicherheitslücke im Web-Analysedienst Hotjar. Angreifende können die XSS-Schwachstelle in Verbindung mit dem Autorisierungsstandard OAuth ausnutzen und so Hotjar-Accounts vollständig übernehmen.

Der Hersteller des Hotjar-Dienstes gibt an, dass sein Entwickler-Team die Sicherheitslücke bereits geschlossen habe. Da Hotjar jedoch bei Analysen sensible Daten speichert, sollten Nutzende ihre Accounts auf Auffälligkeiten prüfen und erhöhte Vorsicht walten lassen.

Ein mögliches Vorgehen von Angreifenden sowie Mitigationsmaßnahmen beschreiben die Forschenden von SaltLabs detailliert in ihrem Bericht. Diesen Bericht finden Sie unten verlinkt.