Jak mohou přihlášení Facebooku a webu Google vést k odcizení dat

  • Lesley Fowler
  • 0
  • 5094
  • 99
reklama

Přihlásit se pomocí Facebooku. Přihlaste se pomocí Google. Webové stránky pravidelně využívají naši touhu se snadno přihlásit, abychom zajistili, že navštěvujeme, a zajistili, že si vezmou kousek koláče osobních údajů. Ale za jakou cenu? Výzkumník v oblasti bezpečnosti nedávno objevil zranitelnost v systému Windows Přihlásit se pomocí Facebooku na mnoha tisících webech. Podobně chyba v rozhraní názvů domén Google App vystavila veřejnost soukromým datům stovek tisíců jednotlivců.

To jsou vážné problémy, kterým čelí dvě z největších domácích technologických jmen. Přestože se s těmito otázkami bude zacházet s náležitým znepokojením a zranitelnostmi opravena, je veřejnosti věnována dostatečná informovanost? Pojďme se podívat na každý případ a co to znamená pro vaši webovou bezpečnost.

Případ 1: Přihlásit se přes Facebook

Chyba zabezpečení Přihlášení pomocí Facebooku vystavuje vaše účty - nikoli však vaše skutečné heslo pro Facebook - a aplikace třetích stran, které jste nainstalovali, například Bit.ly, Mashable, Vimeo, About.me, a řada dalších.

Kritická chyba, kterou objevil Egor Homakov, výzkumný pracovník v oblasti bezpečnosti pro Sakurity, umožňuje hackerům zneužít dohled nad kódem Facebook. Vada pramení z nedostatku vhodných Padělání žádosti o více stránek (CSFR) ochrana pro tři různé procesy: Přihlášení na Facebook, Odhlášení na Facebook a Připojení k účtu třetích stran. Tato chyba zabezpečení umožňuje nechtěné straně provádět akce v rámci ověřeného účtu. Uvidíte, proč by to byl významný problém.

Přesto se Facebook dosud rozhodl udělat velmi málo pro řešení problému, protože by to ohrozilo jejich vlastní kompatibilitu s velkým počtem stránek. Třetí vydání může vyřešit každý dotčený vlastník webu, ale první dvě leží výhradně u dveří Facebooku.

Abychom ještě více ilustrovali nedostatek činnosti Facebooku, Homakov posunul tento problém dále uvolněním hackerského nástroje s názvem RECONNECT. To zneužívá chybu a umožňuje hackerům vytvářet a vkládat vlastní adresy URL používané k únosům účtů na webech třetích stran. Homakov lze nazvat nezodpovědným za uvolnění nástroje Jaký je rozdíl mezi dobrým hackerem a špatným hackerem? [Stanovisko] Jaký je rozdíl mezi dobrým hackerem a špatným hackerem? [Stanovisko] Tu a tam slyšíme něco ve zprávách o hackerech, kteří strhávají stránky, využívají množství programů nebo hrozí, že se budou kroutit do oblastí s vysokou bezpečností, kam by neměli patřit. Ale pokud…, ale vina leží přímo na odmítnutí Facebooku tuto chybu zranitelnosti opravit přinesl na světlo před rokem.

Mezitím buďte ostražití. Neklikejte na nedůvěryhodné odkazy ze stránek vypadajících jako spam nebo nepřijímejte žádosti o přátelství od lidí, které neznáte. Facebook také vydal prohlášení, které říká:

“Toto je dobře chápané chování. Vývojáři webů, kteří používají přihlášení, mohou tomuto problému zabránit dodržováním našich doporučených postupů a pomocí parametru 'state', který poskytujeme pro přihlášení OAuth.”

Povzbudivý.

Případ 1a: Kdo se mi nepřátelil?

Ostatní uživatelé Facebooku padají za kořist pro jiného “služba” kořist při krádeži přihlašovacích údajů OAuth od třetích stran. Přihlášení OAuth je navrženo tak, aby uživatelům zabraňovalo zadávání hesla do jakékoli aplikace nebo služby třetích stran a udržovalo bezpečnost zdi.

Služby jako UnfriendAlert kořistí pro jednotlivce, kteří se pokoušejí zjistit, kdo se vzdal svého online přátelství, a požádal jednotlivce, aby zadali své přihlašovací údaje - a poté je poslali přímo na škodlivý web yougotunfriended.com. UnfriendAlert je klasifikován jako potenciálně nežádoucí program (PUP), který záměrně instaluje adware a malware.

Facebook bohužel nemůže zcela zastavit služby jako je tato, takže je na uživatelích služeb, aby zůstali ostražití a nepadají za věci, které se zdají být pravdivé.

Případ 2: Chyba Google Apps

Naše druhá chyba zabezpečení pramení z chyby při zpracování registrací doménových jmen ve službě Google Apps. Pokud jste již někdy zaregistrovali web, budete vědět, že pro tento proces je nezbytné uvést vaše jméno, adresu, e-mailovou adresu a další důležité soukromé informace. Po registraci může každý s dostatkem času spustit Kdo je najít tyto veřejné informace, pokud během registrace nepožádáte o zachování vašich osobních údajů. Tato funkce obvykle přichází za cenu a je zcela volitelná.

Ti jednotlivci, kteří registrují stránky prostřednictvím eNom a požádat soukromého Whois, aby zjistil, že jejich údaje byly během 18-ti měsíční lhůty pomalu úniky. Chyba softwaru, objevená 19. únoratis a připojeno o pět dní později, unikla soukromá data pokaždé, když byla registrace obnovena, což potenciálně vystavuje soukromé osoby jakémukoli počtu problémů s ochranou dat.

Přístup k 282 000 hromadným záznamům není snadný. Nebudete se na webu potkávat. Nyní je to však nesmazatelná vada v historii společnosti Google a je stejně nesmazatelná z rozsáhlých oblastí internetu. A pokud dokonce 5%, 10% nebo 15% jednotlivců začne dostávat vysoce cílené a škodlivé e-maily s phishingem oštěpem, vydává to balónky do velké datové bolesti hlavy pro Google i eNom.

Případ 3: Spoofed Me

Jedná se o více zranitelností v síti Každá verze systému Windows je touto chybou ohrožena - co s tím můžete udělat. Tato chyba zabezpečení ovlivňuje všechny verze systému Windows - co s tím můžete udělat. Co byste řekli, kdybychom vám řekli, že vaše verze systému Windows je ovlivněna zranitelností, která pochází z roku 1997? Bohužel je to pravda. Microsoft to prostě nikdy neopravil. Tvůj tah! umožňující hackerovi znovu využít systémy přihlášení třetích stran využívané tolika oblíbenými weby. Hacker podá žádost s identifikovanou zranitelnou službou pomocí e-mailové adresy oběti, která je dříve zranitelné službě známa. Hacker pak může zfalšovat údaje uživatele falešným účtem a získat přístup k sociálnímu účtu kompletní s potvrzením e-mailu.

Aby tento hack fungoval, musí web třetí strany podporovat alespoň jedno další přihlášení do sociální sítě pomocí jiného poskytovatele identity nebo schopnosti používat přihlašovací údaje k místním osobním webovým stránkám. Je podobný hackerům na Facebooku, ale byl viděn na celé řadě webů, mezi jinými Amazon, LinkedIn a MYDIGIPASS, a mohl by být potenciálně použit k přihlášení do citlivých služeb se škodlivým úmyslem..

Není to vada, je to vlastnost

Některé weby zapojené do tohoto režimu útoku ve skutečnosti neumožnily pod radarem projít kritickou zranitelností: jsou zabudovány přímo do systému. Díky vaší výchozí konfiguraci routeru jste zranitelní vůči hackerům a podvodníkům? Dělá vaše výchozí konfigurace směrovače zranitelnost pro hackery a podvodníky? Směrovače zřídka dorazí do zabezpečeného stavu, ale i když jste si udělali čas na správnou konfiguraci bezdrátového (nebo kabelového) routeru, stále se může ukázat jako slabý článek. . Jedním příkladem je Twitter. Vanilla Twitter je dobrý, pokud máte jeden účet. Jakmile spravujete více účtů pro různá průmyslová odvětví a oslovujete širokou škálu diváků, potřebujete aplikaci jako Hootsuite nebo TweetDeck 6 bezplatných způsobů, jak naplánovat tweety Najdete zajímavý článek, skvělý obrázek, úžasné video, nebo možná jen chcete sdílet něco, co jste si právě uvědomili nebo na co myslíte. Buď… .

Tyto aplikace komunikují s Twitterem pomocí velmi podobného postupu přihlašování, protože také potřebují přímý přístup k vaší sociální síti a uživatelé jsou požádáni o poskytnutí stejných oprávnění. Vytváří obtížný scénář pro mnoho poskytovatelů sociálních sítí, protože aplikace třetích stran přinášejí sociální sféru tolik, ale jasně vytvářejí nepříjemnosti v zabezpečení pro uživatele i poskytovatele.

Zátah

Zjistili jsme tři a slabé slabiny sociálního přihlášení, které byste nyní měli být schopni identifikovat a snad se jim vyhnout. Hackeři sociálního přihlášení nebudou přes noc vyschnout. Potenciální návratnost pro hackery 4 Nejlepší skupiny hackerů a co chtějí 4 Nejlepší skupiny hackerů a co chtějí Je snadné si představit hackerské skupiny jako nějaký romantický revolucionář v zadní místnosti. Ale kdo to vlastně je? Co znamenají a jaké útoky provedli v minulosti? je příliš velký, a když masivní technologie společnosti, jako je Facebook, odmítají jednat v nejlepším zájmu svých uživatelů, v zásadě to otevírá dveře a umožňuje jim otírat nohy na rohožce na ochranu osobních údajů.

Došlo ke kompromitaci vašeho sociálního účtu třetí stranou? Co se stalo? Jak jsi se vzpamatoval??

Image Credit: binární kód Via Shutterstock, Structure via Pixabay




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.