Annonse
Logg inn med Facebook. Logg inn med Google. Nettsteder utnytter regelmessig vårt ønske om å logge på med letthet for å sikre at vi besøker, og for å sikre at de tar en bit av personopplysningskaken. Men til hvilken pris? En sikkerhetsforsker oppdaget nylig en sårbarhet i Logg inn med Facebook -funksjon som finnes på mange tusen nettsteder. På samme måte eksponerte en feil i grensesnittet for Google App-domenenavn hundretusener av private data for publikum.
Dette er alvorlige problemer som står overfor to av de største husholdnings-teknologinavnene. Selv om disse problemene vil bli behandlet med passende uro og sårbarhetene blir rettet, er bevisstheten gitt nok for publikum? La oss se på hvert enkelt tilfelle, og hva det betyr for websikkerheten din.
Sak 1: Logg inn med Facebook
Sårbarheten Innlogging med Facebook utsetter kontoene dine - men ikke ditt faktiske Facebook-passord - og tredjepartsapplikasjonene du har installert, for eksempel Bit.ly, Mashable, Vimeo, About.me, og mange andre.
Den kritiske feilen, oppdaget av Egor Homakov, sikkerhetsforsker for Sakurity, lar hackere misbruke et tilsyn i Facebook-koden. Feilen stammer fra mangel på passende Forfalskning på tvers av sider (CSFR) beskyttelse for tre forskjellige prosesser: Facebook-pålogging, Facebook-avlogging og tredjeparts kontotilkobling. Sårbarheten lar i utgangspunktet en uønsket part utføre handlinger innenfor en autentisert konto. Du kan se hvorfor dette vil være et betydelig problem.
Likevel har Facebook foreløpig valgt å gjøre veldig lite for å ta opp problemet, da det ville kompromittere deres egen kompatibilitet med et stort antall nettsteder. Den tredje utgaven kan fikses av enhver berørt nettstedseier, men de to første ligger utelukkende på Facebook-døren.
For ytterligere å illustrere den manglende handlingen fra Facebook, har Homakov presset saken videre ved å gi ut et hackereverktøy som heter RECONNECT. Dette utnytter feilen, og lar hackere opprette og sette inn tilpassede nettadresser som brukes til å kapre kontoer på tredjeparts nettsteder. Homakov kunne kalles uansvarlig for å slippe verktøyet Hva er forskjellen mellom en god hacker og en dårlig hacker? [Mening]Nå og da hører vi noe i nyhetene om at hackere tar ned nettsteder, utnytter a mangfold av programmer, eller truer med å vrikke seg inn i områder med høy sikkerhet der de skal ikke høre til. Men hvis... Les mer , men skylden ligger rett på at Facebook nekter å korrigere sårbarheten brakt fram i lyset for over ett år siden.
Forbli i mellomtiden våken. Ikke klikk på ikke-betrodde koblinger fra sider med søppelpost, eller godta venneforespørsler fra folk du ikke kjenner. Facebook har også gitt ut en uttalelse som sier:
“Dette er en godt forstått oppførsel. Nettstedsutviklere som bruker innlogging, kan forhindre dette problemet ved å følge beste praksis og bruke parameteren "tilstand" vi tilbyr for OAuth-pålogging. "
Oppmuntrende.
Sak 1a: Who Unfriended Me?
Andre Facebook-brukere faller byttedyr for en annen "tjeneste" som bytter på tredjeparts OAuth-påloggingsinformasjonstyveri. OAuth-påloggingen er designet for å hindre brukere i å oppgi passordet deres til enhver tredjeparts applikasjon eller tjeneste, og opprettholde sikkerhetsmuren.
Tjenester som UnfriendAlert bytte på enkeltpersoner som prøver å oppdage hvem som har gitt avkall på sitt vennskap på nettet, og be enkeltpersoner om å oppgi innloggingsinformasjon - for så å sende dem rett til skadelig nettsted yougotunfriended.com. UnfriendAlert er klassifisert som et potensielt uønsket program (PUP), med vilje å installere adware og malware.
Dessverre kan ikke Facebook helt stoppe tjenester som dette, så brukeren på tjenestebrukere for å forbli årvåken og ikke falle for ting som ser ut til å være sanne.
Sak 2: Google Apps-feil
Den andre sårbarheten vår stammer fra en feil i Google Apps-håndtering av domenenavnsregistreringer. Hvis du noen gang har registrert et nettsted, vil du vite at navn, adresse, e-postadresse og annen viktig privat informasjon er viktig for prosessen. Etter registrering kan alle med nok tid løpe a Hvem er for å finne denne offentlige informasjonen, med mindre du legger inn en forespørsel under registreringen om å holde dine personlige data private. Denne funksjonen kommer vanligvis til en pris, og er helt valgfri.
De personene som registrerer nettsteder gjennom eNom og som ba om en privat Whois, fant dataene sine sakte blitt lekket over en periode på 18 måneder. Programvaredefekten, oppdaget 19. februarth og koblet til fem dager senere, lekket private data hver gang en registrering ble fornyet, noe som potensielt utsatte privatpersoner for et antall databeskyttelsesproblemer.
Det er ikke lett å få tilgang til 282 000 bulkoppslag. Du vil ikke snuble over det på nettet. Men det er nå en uutslettelig feil på Googles merittliste, og er like uutslettelig fra de enorme skårene på Internett. Og hvis til og med 5%, 10% eller 15% av individene begynner å motta svært målrettede, ondsinnede spydfiske-e-poster, gir dette ballonger en stor datahodepine for både Google og eNom.
Sak 3: Spoofed Me
Dette er en sårbarhet med flere nettverk Hver versjon av Windows påvirkes av dette sikkerhetsproblemet - hva du kan gjøre med det.Hva ville du sagt hvis vi fortalte deg at Windows-versjonen din er påvirket av en sårbarhet som går tilbake til 1997? Dessverre er dette sant. Microsoft la rett og slett aldri opp. Din tur! Les mer slik at en hacker igjen kan utnytte tredjeparts påloggingssystemer som er utnyttet av så mange populære nettsteder. Hackeren legger inn en forespørsel med en identifisert sårbar tjeneste ved hjelp av offerets e-postadresse, en som tidligere er kjent for den sårbare tjenesten. Hackeren kan da forfalske brukerens detaljer med den falske kontoen, og få tilgang til den sosiale kontoen komplett med bekreftet e-postbekreftelse.
For at dette hacket skal fungere, må tredjepartsnettstedet støtte minst ett annet pålogging for sosiale nettverk ved å bruke en annen identitetsleverandør, eller muligheten til å bruke lokale personlige legitimasjonsnettsteder. Det ligner på Facebook-hacket, men har blitt sett på et bredere spekter av nettsteder, inkludert Amazon, LinkedIn og MYDIGIPASS blant andre, og potensielt kan brukes til å logge seg på sensitive tjenester med ondsinnet hensikt.
Det er ikke en feil, det er en funksjon
Noen av nettstedene som er involvert i denne angrepsmåten lar faktisk ikke en kritisk sårbarhet fly under radaren: det er de innebygd direkte i systemet Gjør din standardruterkonfigurasjon deg sårbar for hackere og svindlere?Rutere ankommer sjelden i sikker tilstand, men selv om du har tatt deg tid til å konfigurere den trådløse (eller kablede) ruteren riktig, kan det fremdeles vise seg å være den svake lenken. Les mer . Et eksempel er Twitter. Vanilla Twitter er flink, hvis du har en konto. Når du har administrert flere kontoer, for forskjellige bransjer, og nærmer deg en rekke målgrupper, trenger du en applikasjon som Hootsuite, eller TweetDeck 6 gratis måter å planlegge tweets påÅ bruke Twitter handler egentlig om her og nå. Du finner en interessant artikkel, et kult bilde, en fantastisk video, eller kanskje du bare vil dele noe du nettopp har innsett eller tenkt på. Enten... Les mer .
Disse applikasjonene kommuniserer med Twitter ved å bruke en veldig lignende påloggingsprosedyre, da de også trenger direkte tilgang til ditt sosiale nettverk, og brukerne blir bedt om å gi de samme tillatelsene. Det skaper et vanskelig scenario for mange leverandører av sosiale nettverk ettersom tredjepartsapper bringer så mye til den sosiale sfæren, men skaper likevel sikkerhetsmessige problemer for både bruker og leverandør.
Roundup
Vi har identifisert tre-og-litt sosiale påloggingssårbarheter du nå skal kunne identifisere og forhåpentligvis unngå. Sosiale påloggingshakk vil ikke tørke ut over natten. De potensiell utbetaling for hackere 4 Topp Hacker-grupper og hva de vilDet er lett å tenke på hackergrupper som en slags romantiske bakromsrevolusjonærer. Men hvem er de egentlig? Hva står de for, og hvilke angrep har de utført tidligere? Les mer er for flott, og når massive teknologier selskaper som Facebook nekter å handle i beste interesse av brukerne deres, er det i utgangspunktet å åpne døren og la dem tørke føttene på personvernet dørmatte.
Er den sosiale kontoen din blitt kompromittert av en tredjepart? Hva skjedde? Hvordan kom du deg?
Bildekreditt:binær kode Via Shutterstock, Struktur via Pixabay
Gavin er seniorforfatter for MUO. Han er også redaktør og SEO manager for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskriving med digital kunstpraksis plyndret fra åsene i Devon, i tillegg til over et tiår med profesjonell skrivingerfaring. Han liker store mengder te.