Reklama

Zaloguj się przez facebook. Zaloguj się za pomocą Google. Strony internetowe regularnie wykorzystują nasze pragnienie łatwego logowania, aby mieć pewność, że odwiedzimy naszą witrynę, i upewnij się, że przechwytują kawałek danych osobowych. Ale jakim kosztem? Pewien badacz bezpieczeństwa odkrył ostatnio lukę w zabezpieczeniach Zaloguj się przez facebook funkcja znaleziona w wielu tysiącach witryn. Podobnie błąd w interfejsie nazw domen Google App ujawnił publicznie setki tysięcy osób prywatnych danych.

Są to poważne problemy, z którymi zmagają się dwie największe domowe marki technologiczne. Chociaż problemy te zostaną potraktowane z odpowiednim niepokojem, a luki zostaną załatane, czy społeczeństwo ma wystarczającą świadomość? Przyjrzyjmy się każdemu przypadkowi i jego znaczeniu dla bezpieczeństwa w sieci.

Przypadek 1: Zaloguj się za pomocą Facebooka

Luka Login with Facebook ujawnia Twoje konta - ale nie rzeczywiste hasło do Facebooka - oraz zainstalowane przez Ciebie aplikacje innych firm, takie jak Bit.ly, Mashable, Vimeo, About.mei wiele innych.

Krytyczna wada odkryta przez Egora Homakova, badacza bezpieczeństwa dla Sakurity, pozwala hakerom na nadużywanie niedopatrzenia w kodzie Facebooka. Wada wynika z braku odpowiedniego Fałszowanie żądań w różnych witrynach (CSFR) ochrona dla trzech różnych procesów: Logowanie do Facebooka, wylogowanie z Facebooka i połączenie z kontem strony trzeciej. Luka ta zasadniczo umożliwia niechcianej stronie wykonywanie działań na uwierzytelnionym koncie. Możesz zobaczyć, dlaczego byłby to istotny problem.

muo-security-smb-password-theft

Jednak Facebook jak dotąd postanowił zrobić niewiele, aby rozwiązać ten problem, ponieważ zagroziłoby to ich własnej kompatybilności z ogromną liczbą stron. Trzeci problem może rozwiązać każdy zainteresowany właściciel witryny, ale dwa pierwsze leżą wyłącznie przy drzwiach Facebooka.

Aby dodatkowo zilustrować brak działań ze strony Facebooka, Homakov posunął ten problem dalej, uwalniając narzędzie hakerskie o nazwie RECONNECT. Wykorzystuje to błąd, umożliwiając hakerom tworzenie i wstawianie niestandardowych adresów URL używanych do przejęcia kont w witrynach stron trzecich. Homakov można nazwać nieodpowiedzialne za zwolnienie narzędzia Jaka jest różnica między dobrym hakerem a złym hackerem? [Opinia]Od czasu do czasu słyszymy coś w wiadomościach o tym, że hakerzy usuwają strony, wykorzystują mnogość programów lub groźba wkroczenia do obszarów o wysokim poziomie bezpieczeństwa, w których się znajdują nie powinno należeć. Ale jeśli... Czytaj więcej , ale wina leży po prostu w tym, że Facebook nie chce załatać tej luki ujawnione ponad rok temu.

Zaloguj się na Facebooku

W międzyczasie zachowaj czujność. Nie klikaj niezaufanych linków ze stron przypominających spam, ani nie przyjmuj zaproszeń od znajomych, których nie znasz. Facebook wydał także oświadczenie:

„Jest to dobrze zrozumiane zachowanie. Programiści witryn korzystający z logowania mogą zapobiec temu problemowi, postępując zgodnie z naszymi najlepszymi praktykami i używając parametru „stan”, który podajemy dla logowania OAuth ”.

Zachęcający.

Przypadek 1a: Kto mnie nie zaprzyjaźnił?

Inni użytkownicy Facebooka padają ofiarą innej „usługi” żerującej na kradzieży danych logowania OAuth strony trzeciej. Logowanie OAuth ma na celu uniemożliwienie użytkownikom wprowadzania hasła do dowolnej aplikacji lub usługi strony trzeciej, utrzymując ścianę bezpieczeństwa.

Powiadom znajomego

Usługi takie jak Nieprzyjazny żerują na osobach próbujących dowiedzieć się, kto zrezygnował z przyjaźni online, prosząc je o podanie danych logowania, a następnie wysyłają bezpośrednio na złośliwą stronę yougotunfriended.com. UnfriendAlert jest klasyfikowany jako potencjalnie niechciany program (PUP), celowo instalujący adware i malware.

Niestety Facebook nie może całkowicie zatrzymać takich usług, więc na użytkownikach spoczywa obowiązek zachowania czujności i nie zakochać się w rzeczach, które wydają się być prawdą.

Przypadek 2: błąd Google Apps

Nasza druga luka wynika z błędu w obsłudze Google Apps w zakresie rejestracji nazw domen. Jeśli kiedykolwiek zarejestrowałeś stronę internetową, będziesz wiedział, że podanie imienia i nazwiska, adresu, adresu e-mail i innych ważnych informacji prywatnych jest niezbędne. Po rejestracji każdy może mieć wystarczająco dużo czasu uruchomić a Kto jest znaleźć te informacje publiczne, chyba że podczas rejestracji złożysz wniosek o zachowanie poufności swoich danych osobowych. Ta funkcja zazwyczaj kosztuje i jest całkowicie opcjonalna.

Zaloguj się za pomocą Google

Te osoby rejestrujące strony za pośrednictwem eNom i z prośbą do prywatnej Whois stwierdzono, że ich dane powoli wyciekły przez okres około 18 miesięcy. Wada oprogramowania odkryta 19 lutegoth i podłączono pięć dni później, wyciekły prywatne dane za każdym razem, gdy rejestracja była odnawiana, potencjalnie narażając osoby prywatne na dowolną liczbę problemów związanych z ochroną danych.

Whois Search

Dostęp do 282 000 zbiorczych wydań nie jest łatwy. Nie natkniesz się na to w Internecie. Ale teraz jest to nieusuwalna skaza na dotychczasowych osiągnięciach Google i równie nieusuwalna z powodu ogromnej ilości Internetu. A jeśli nawet 5%, 10% lub 15% osób zacznie otrzymywać wysoce ukierunkowane, złośliwe wiadomości e-mail typu phishing spear, powoduje to poważny ból głowy zarówno dla Google, jak i eNom.

Przypadek 3: Spoofed Me

To jest podatność na wiele sieci Luka dotyczy każdej wersji systemu Windows - co można z tym zrobić.Co byś powiedział, gdybyśmy ci powiedzieli, że twoja wersja systemu Windows jest dotknięta luką z 1997 roku? Niestety to prawda. Microsoft po prostu nigdy tego nie załatał. Twoja kolej! Czytaj więcej umożliwiając hakerowi ponowne wykorzystanie zewnętrznych systemów logowania wykorzystywanych przez tak wiele popularnych witryn. Haker przesyła żądanie do zidentyfikowanej podatnej na ataki usługi przy użyciu adresu e-mail ofiary, który był wcześniej znany tej podatnej usłudze. Haker może następnie sfałszować dane użytkownika za pomocą fałszywego konta, uzyskując dostęp do konta społecznościowego wraz z potwierdzoną weryfikacją adresu e-mail.

Net Security

Aby ten hack zadziałał, witryna strony trzeciej musi obsługiwać co najmniej jedno inne logowanie do sieci społecznościowej przy użyciu innego dostawcy tożsamości lub możliwość korzystania z lokalnych poświadczeń osobistej witryny internetowej. Jest podobny do hacka na Facebooku, ale można go było zobaczyć na wielu stronach internetowych, w tym w Amazon, LinkedIn i MYDIGIPASS między innymi i mogą być potencjalnie używane do logowania się do wrażliwych usług za pomocą Złośliwe intencje.

To nie jest wada, to jest funkcja

Niektóre strony zaangażowane w ten tryb ataku w rzeczywistości nie pozwalają krytycznej luce latać pod radarem: są wbudowany bezpośrednio w system Czy Twoja domyślna konfiguracja routera sprawia, że ​​jesteś podatny na ataki hakerów i oszustów?Routery rzadko przybywają w bezpiecznym stanie, ale nawet jeśli poświęciłeś dużo czasu na prawidłowe skonfigurowanie routera bezprzewodowego (lub przewodowego), nadal może okazać się słabym łączem. Czytaj więcej . Jednym z przykładów jest Twitter. Vanilla Twitter jest dobry, jeśli masz jedno konto. Gdy zarządzasz wieloma kontami dla różnych branż i zbliżasz się do szerokiego grona odbiorców, potrzebujesz aplikacji jak Hootsuite lub TweetDeck 6 darmowych sposobów na zaplanowanie tweetówKorzystanie z Twittera naprawdę dotyczy tu i teraz. Znajdziesz ciekawy artykuł, fajne zdjęcie, niesamowity film, a może po prostu chcesz podzielić się czymś, co właśnie zrealizowałeś lub pomyślałeś. Zarówno... Czytaj więcej .

Struktura

Te aplikacje komunikują się z Twitterem przy użyciu bardzo podobnej procedury logowania, ponieważ one również potrzebują bezpośredniego dostępu do sieci społecznościowej, a użytkownicy proszeni są o podanie tych samych uprawnień. Stwarza to trudny scenariusz dla wielu dostawców sieci społecznościowych, ponieważ aplikacje innych producentów wnoszą tak wiele do sfery społecznościowej, a jednocześnie wyraźnie powodują niedogodności bezpieczeństwa zarówno dla użytkownika, jak i dostawcy.

Podsumowanie

Zidentyfikowaliśmy trzy i nieco luki w zabezpieczeniach związane z logowaniem społecznościowym, które powinieneś teraz być w stanie zidentyfikować i, miejmy nadzieję, uniknąć. Hacki do logowania społecznościowego nie wyschną z dnia na dzień. The potencjalna wypłata dla hakerów 4 najlepsze grupy hakerów i ich potrzebyŁatwo jest myśleć o grupach hakerów jako o romantycznych rewolucjonistach na zapleczu. Ale kim oni naprawdę są? Co oni reprezentują i jakie ataki przeprowadzili w przeszłości? Czytaj więcej jest zbyt wielki, a kiedy masowe technologie, takie jak Facebook, odmawiają działania w najlepszym interesie ich użytkowników, to po prostu otwiera drzwi i pozwala im ocierać się o prywatność danych wycieraczka.

Czy Twoje konto społecznościowe zostało przejęte przez firmę zewnętrzną? Co się stało? Jak wyzdrowiałeś?

Źródło zdjęcia:kod binarny Via Shutterstock, Struktura przez Pixabay

Gavin jest starszym pisarzem dla MUO. Jest także redaktorem i menedżerem SEO dla siostrzanej strony MakeUseOf, Blocks Decoded. Ma licencjat z wyróżnieniem (z wyróżnieniem) z zakresu sztuki cyfrowej zdobyte na wzgórzach Devon, a także ponad dekadę doświadczenia zawodowego w pisaniu. Lubi dużo herbaty.