4月份以来，心脏出血漏洞和微软IE浏览器零日漏洞对全球互联网安全造成严重威胁，但一波未平一波又起，近日开源认证软件OpenID和Oauth又爆出严重安全漏洞，攻击者可利用社交账户第三方应用认证（通行证）窃取用户身份信息。

4月份开源软件OpenSSL爆出的“心脏出血”漏洞波及三分之二互联网，数以亿计的网民个人信息都面临泄露风险，正当业界纷纷指责和质疑开源软件的安全问题时，微软近日爆出的史上最严重的IE浏览器零日漏洞给这场争论划上了句号——无论开源还是闭源软件，都不靠谱。

屋漏偏逢连夜雨，近日新加坡南洋科技大学的博士生王晶（音译）同学又发现开源认证授权软件OpenID和Oauth存在严重安全漏洞，这对于伤痕累累的互联网信息安全基础设施来说，无异于伤口上又撒了一把盐。

王晶将发现的漏洞命名为Cover Redirect（秘密重定向），当用户点击一个钓鱼链接时，会跳出一个正规大站（例如facebook或者新浪微博之类）的应用授权窗口，要求你为一个新应用授权访问，进而窃取用户的个人信息如邮件地址、联系人等信息，并发回给攻击者。

王晶在接受媒体采访时指出，已经将该漏洞报告给Google、LinkedIn和微软等公司，包括雅虎和Paypal等大量网站都可能受此漏洞影响。

王晶在个人博客中指出：

漏洞的修补并不容易，需要所有第三方应用都严格最受白名单制度，这样才能确保攻击者没有机会下手。但在现实中大量第三方应用都没有遵守制度，这让基于OAuth2.0和OpenID的系统安全门户大开。

安全公司BitDefender建议用户采取以下安全措施：

永远不要点击来路不明的（垃圾）邮件或即时通讯应用中的网址，更重要的是，千万不要在弹出的社交账户授权窗口中填写信息。