Peneliti keamanan mengungkap zero-day kritis yang memungkinkan pelaku mengambil alih akun pengguna di layanan AI seperti Cursor dan WindSurf. Bug ini berasal dari salah konfigurasi OAuth pada GitHub yang memungkinkan pencurian token autentikasi secara massal.
Ringkasan
Peneliti dari Wiz menemukan sebuah kerentanan zero-day yang sangat serius di layanan Cursor dan WindSurf, dua platform AI developer tool populer. Kerentanan ini memungkinkan pengambilalihan akun pengguna hanya dengan satu klik—dan berpotensi mengekspos jutaan kredensial dan kode milik developer di GitHub.
Bagaimana Kerentanan Ini Bekerja?
- Kedua layanan menggunakan OAuth App GitHub untuk menghubungkan akun pengguna.
- Namun, konfigurasi callback URL mereka tidak aman, memungkinkan pelaku melakukan session hijacking.
- Dengan mengarahkan korban ke URL buatan, penyerang bisa menyuntikkan authorization code GitHub ke akun mereka sendiri, dan mendapatkan token akses penuh korban.
- Setelah akses diberikan, pelaku bisa membaca, mengedit, atau mencuri repositori pribadi pengguna — termasuk token API, konfigurasi produksi, dan informasi sensitif lainnya.
Potensi Dampak
- Eksfiltrasi kode sumber dari ribuan developer dan perusahaan
- Kebocoran data API & environment keys dari proyek yang sedang dikembangkan
- Pengambilalihan infrastruktur produksi lewat akses ke script deployment otomatis
- Dapat dimanfaatkan sebagai jalur lateral ke sistem internal perusahaan
Tindakan Perbaikan
- Cursor dan WindSurf telah menonaktifkan OAuth App mereka dan memperbaiki callback URL
- Wiz segera melaporkan temuan ini ke GitHub dan vendor terkait, yang merespons dalam waktu 24 jam
- GitHub mencabut token yang terdampak, dan meminta pengguna melakukan otentikasi ulang
Apakah Ada Bukti Eksploitasi?
Tidak ditemukan bukti bahwa kerentanan ini telah dieksploitasi secara aktif. Namun, tingkat dampaknya sangat tinggi karena:
- Tak perlu interaksi pengguna selain klik tautan
- Menargetkan akses penuh GitHub, yang menjadi pusat infrastruktur developer modern
Rekomendasi
- Jika Anda pengguna Cursor atau WindSurf, cabut token GitHub Anda dan re-authorize ulang
- Aktifkan 2FA di GitHub
- Monitor aktivitas repositori dan audit token access secara berkala