Modul în care conectările Facebook și Google pot duce la furtul de date
Logheaza-te cu Facebook. Conectați-vă cu Google. Site-urile web leagă în mod regulat dorința noastră de a ne conecta cu ușurință pentru a ne asigura că vom vizita și pentru a ne asigura că au apucat o felie de plăcintă cu date personale. Dar cu ce cost? Un cercetător de securitate a descoperit recent o vulnerabilitate în Logheaza-te cu Facebook caracteristică găsită pe multe mii de site-uri. În mod similar, o eroare din interfața cu numele de domeniu al aplicației Google a expus publicului sute de mii de persoane private.
Acestea sunt probleme serioase cu care se confruntă două dintre cele mai mari nume de tehnologie de uz casnic. În timp ce aceste probleme vor fi tratate cu o neliniște adecvată și cu vulnerabilitățile patch-uri, este suficientă conștientizarea publicului? Să examinăm fiecare caz și ce înseamnă pentru securitatea dvs. web.
Cazul 1: Conectați-vă cu Facebook
Vulnerabilitatea Conectare cu Facebook expune conturile dvs. - dar nu și parola dvs. Facebook actuală - și aplicațiile terță parte pe care le-ați instalat, cum ar fi Bit.ly, Mashable, Vimeo, Despre.me, și gazdă a altora.
Defectele critice, descoperite de Egor Homakov, cercetător de securitate pentru Sakurity, permit hackerilor să abuzeze de o supraveghere a codului Facebook. Defecțiunea rezultă din lipsa de adecvare Cross-site-ul cererii de falsificare (CSFR) pentru trei procese diferite: conectarea Facebook, conectarea la Facebook și conectarea la contul terț. Vulnerabilitatea permite în mod esențial unei părți nedorite să efectueze acțiuni în cadrul unui cont autentificat. Puteți vedea de ce ar fi o problemă semnificativă.
Cu toate acestea, Facebook a fost încă ales să facă foarte puțin pentru a rezolva problema, deoarece ar compromite propria lor compatibilitate cu un număr mare de site-uri. A treia problemă poate fi rezolvată de orice proprietar de site interesat, dar primele două se află exclusiv la ușa de pe Facebook.
Pentru a exemplifica lipsa acțiunii făcute de Facebook, Homakov a împins problema în continuare prin lansarea unui instrument de hackeri numit RECONNECT. Acest lucru exploatează eroarea, permițând hackerilor să creeze și să introducă URL-uri personalizate folosite pentru a deturna conturile pe site-uri terțe. Omakov ar putea fi numit iresponsabil pentru eliberarea instrumentului Care este diferența dintre un bun hacker și un hacker rău? [Opinie] Care este diferența dintre un bun hacker și un hacker rău? [Opinie] De fiecare dată când auzim ceva în știri despre hackerii care dau jos site-uri, exploatează o multitudine de programe sau amenință să-și croiască drumul în zone înalte de securitate unde nu ar trebui să le aparțină. Dar, dacă ... Citiți mai mult, dar vina se află în mod direct în refuzul Facebook de a atașa vulnerabilitatea a adus la lumină acum un an.
Între timp, rămâi vigilent. Nu faceți clic pe linkurile neautentificate de pe paginile cu aspect spam sau acceptați solicitări de prietenie de la persoane pe care nu le cunoașteți. Facebook a lansat, de asemenea, o declarație spunând:
“Acesta este un comportament bine înțeleasă. Dezvoltatorii site-ului care utilizează Login pot preveni această problemă, urmând cele mai bune practici și utilizând parametrul "state" pe care îl furnizăm pentru autentificare OAuth.”
încurajator.
Cazul 1a: Cine ma prietenat?
Alți utilizatori Facebook se încadrează într-o altă pradă “serviciu” pretinde furtul de acreditare de autentificare OAuth de la terți. Conectarea la OAuth este concepută pentru a împiedica utilizatorii să introducă parola în orice aplicație sau serviciu terță parte, menținând peretele de securitate.
Servicii cum ar fi UnfriendAlert pradă persoanelor care încearcă să descopere cine și-a renunțat la prietenia lor online, cerând indivizilor să introducă acreditările lor de conectare - apoi trimițându-le direct la site-uri rău intenționate yougotunfriended.com. UnfriendAlert este clasificat ca un program potențial nedorit (PUP), instalând în mod intenționat programe adware și malware.
Din nefericire, Facebook nu poate opri în întregime serviciile de acest gen, astfel încât responsabilitatea este ca utilizatorii serviciilor să rămână vigilenți și nu să cadă pentru lucruri care par a fi bune pentru a fi adevărate.
Cazul 2: Bug Google Apps
Cea de-a doua vulnerabilitate provine dintr-o eroare în gestionarea înregistrărilor de nume de domeniu în Google Apps. Dacă ați înregistrat vreodată un site web, veți ști că furnizarea numelui, adresei, adresei de e-mail și a altor informații importante importante este esențială pentru acest proces. În urma înscrierii, oricine are suficient timp poate rula a Care este pentru a găsi aceste informații publice, cu excepția cazului în care faceți o solicitare în timpul înregistrării pentru a păstra datele dvs. personale private. Această caracteristică este, de obicei, la un cost și este în întregime opțională.
Acei persoane care înregistrează site-uri prin eNom și solicitând unui privat Whois că datele sale au fost lezate lent de-a lungul unei perioade de 18 luni. Defectele de software, descoperite pe 19 februarielea și conectat cinci zile mai târziu, a scurgeri de date private de fiecare dată când a fost reînnoită înregistrarea, potențial expunând persoanele private la orice număr de probleme de protecție a datelor.
Accesul la versiunea în vrac a înregistrărilor de 282.000 nu este ușor. Nu veți cădea peste ea pe web. Dar este acum o cusătură de neșters pe înregistrarea Google, și este de asemenea de neșters de pe vastul conținut al Internetului. Și dacă și 5%, 10% sau 15% dintre persoane încep să primească e-mailuri de phishing foarte bine direcționate, rău intenționate, aceasta afișează baloane într-o durere de cap majoră pentru Google și eNom.
Cazul 3: M-am speriat
Aceasta este o vulnerabilitate la mai multe rețele Fiecare versiune de Windows este afectată de această vulnerabilitate - Ce puteți face despre aceasta. Fiecare versiune de Windows este afectată de această vulnerabilitate - Ce puteți face despre aceasta. Ce ați spune dacă v-am spus că versiunea dvs. de Windows este afectată de o vulnerabilitate care datează din 1997? Din păcate, acest lucru este adevărat. Microsoft pur și simplu nu a patch-l. Randul tau! Citește mai mult, permițând unui hacker să exploateze din nou sistemul de semnare terță parte în sisteme utilizate de atâtea site-uri populare. Hacker-ul trimite o cerere cu un serviciu vulnerabil identificat utilizând adresa de e-mail a victimei, una cunoscută anterior serviciului vulnerabil. Hackerul poate apoi să spioneze detaliile utilizatorului cu contul fals, obținând acces la contul social completat cu confirmarea confirmată a e-mailului.
Pentru ca acest hack să funcționeze, site-ul terță parte trebuie să accepte cel puțin o altă conectare la rețea socială utilizând un alt furnizor de identitate sau capacitatea de a utiliza acreditările personale ale site-urilor personale locale. Acesta este similar cu hack-ul Facebook, dar a fost văzut pe o gamă mai largă de site-uri web, printre care Amazon, LinkedIn și MYDIGIPASS printre altele și ar putea fi folosit pentru a vă conecta la servicii sensibile cu intenții de rău intenție.
Nu este un defect, este o caracteristică
Unele dintre site-urile implicate în acest mod de atac nu au lăsat de fapt o vulnerabilitate critică să zboare sub radar: sunt construite direct în sistem Configurația implicită a routerului dvs. vă face vulnerabilă la hackeri și escrocii? Setarea implicită a routerului dvs. vă face vulnerabilă la hackeri și escrocii? Ruterele rareori ajung într-o stare sigură, dar chiar dacă ați făcut timp pentru a configura corect routerul fără fir (sau cu fir), acesta se poate dovedi a fi legătura slabă. Citeste mai mult . Un exemplu este Twitter. Vanilla Twitter este bun, dacă aveți un cont. Odată ce gestionați mai multe conturi, pentru diferite industrii, apropiați o serie de segmente de public, aveți nevoie de o aplicație cum ar fi Hootsuite sau TweetDeck 6 moduri gratuite de a programa tweets 6 moduri gratuite de a programa tweets Utilizarea Twitter este într-adevăr despre aici și acum. Puteți găsi un articol interesant, o imagine grozavă, un videoclip minunat sau poate doriți doar să împărtășiți ceva ce tocmai v-ați dat seama sau credeți. Fie ... Citește mai mult .
Aceste aplicații comunică cu Twitter utilizând o procedură de conectare foarte asemănătoare, deoarece acestea au nevoie și de acces direct la rețeaua dvs. socială, iar utilizatorii sunt rugați să furnizeze aceleași permisiuni. Creează un scenariu dificil pentru mulți furnizori de rețele sociale deoarece aplicațiile de la terțe părți aduc atât de mult la sfera socială, dar în mod clar creează inconveniente de securitate atât pentru utilizator, cât și pentru furnizor.
A rotunji
Am identificat vulnerabilitățile de semnare socială de trei ori pe care ar trebui să le puteți identifica acum și, sperăm, să le evitați. Hack-urile de conectare socială nu se vor usca peste noapte. Plățile potențiale pentru hackeri 4 Grupuri de top de hackeri și ce doresc 4 grupuri de top de hackeri și ce doresc Este ușor să te gândești la grupurile de hackeri ca la niște revoluționari români din spate. Dar cine sunt ei cu adevărat? Ce reprezintă acestea și ce atacuri au făcut în trecut? Citește mai mult este prea mare și când tehnologii masive, cum ar fi Facebook, refuză să acționeze în interesul utilizatorilor, este în principiu deschiderea ușii și lăsându-i să-și șterge picioarele în privința confidențialității datelor.
Contul dvs. social a fost compromis de o terță parte? Ce s-a întâmplat? Cum te-ai recuperat??
Image Credit: cod binar Prin intermediul Shutterstock, structura prin Pixabay
Explorați mai multe despre: Facebook, confidențialitatea online, securizarea online.