Enterprise app stores zoals Microsoft AppSource en Google Workspace Marketplace bieden miljoenen nuttige OAuth-apps en -add-ons. Denk aan analytics, security, CRM, document management, project management en meer. Een OAuth-app is een applicatie die samenwerkt met een cloud-dienst, maar ook kan worden geleverd door een andere partij dan de cloud-dienstverlener. De meeste OAuth-apps vragen gebruikers toestemming om toegang te krijgen tot informatie en gegevens en deze te beheren. Maar ook om de gebruiker aan te melden bij andere cloud-apps. Zij kunnen bijvoorbeeld toegang krijgen tot bestanden van gebruikers, hun agenda's lezen, namens hen e-mails versturen en nog veel meer.
Omdat OAuth-apps in grote mate toegang hebben tot cloud-applicaties, zijn ze een steeds interessanter doelwit en aanvalsmiddel voor cybercriminelen geworden. Aanvallers gebruiken verschillende methoden om OAuth-apps te misbruiken, waaronder het kraken van app-certificaten, wat ook gebeurde in de SolarWinds/Solorigate-campagne.
Volgens een nieuwe analyse van Proofpoint misbruiken aanvallers steeds vaker legitieme OAuth-apps om gegevens weg te sluizen en toegang te houden tot specifieke cloud-diensten nadat ze een account hebben overgenomen. In het afgelopen jaar hebben cybercriminelen bij 95% van de organisaties geprobeerd cloud-accounts over te nemen en in meer dan 50% van de gevallen was ten minste één aanval succesvol. Bij meer dan 30% van de gecompromitteerden was er sprake van criminele activiteiten na het verkrijgen van toegang. Voorbeelden hiervan zijn bestandsmanipulatie, het doorsturen van e-mails en OAuth-activiteiten. Bij 10% van de organisaties werden geautoriseerde schadelijke OAuth-apps aangetroffen. Hierdoor hadden aanvallers toegang tot gebruikersinformatie en -gegevens en konden ze deze beheren, terwijl ze zich namens de gebruiker konden aanmelden bij andere cloud-apps.
