Реклама

Войти с Facebook. Войти с помощью Google. Веб-сайты регулярно используют наше желание с легкостью входить в систему, чтобы гарантировать, что мы посещаем, и чтобы они захватили часть пирога персональных данных. Но какой ценой? Исследователь безопасности недавно обнаружил уязвимость в Войти с Facebook функция найдена на многих тысячах сайтов. Аналогичным образом, ошибка в интерфейсе доменного имени Google App открыла доступ для сотен тысяч частных лиц.

Это серьезные проблемы, с которыми сталкиваются два крупнейших домашних технологических имени. В то время как эти проблемы будут рассматриваться с соответствующей тревогой и исправлены уязвимости, достаточно ли осведомленности общественности? Давайте рассмотрим каждый случай и то, что он означает для вашей веб-безопасности.

Случай 1: Войти через Facebook

Уязвимость «Вход через Facebook» раскрывает ваши учетные записи, но не ваш действительный пароль Facebook, а также установленные вами сторонние приложения, такие как Bit.ly, Mashable, Vimeo, About.meи множество других.

instagram viewer

Критический недостаток, обнаруженный Егором Хомаковым, исследователем безопасности Sakurity, позволяет хакерам злоупотреблять недосмотром кода Facebook. Недостаток связан с отсутствием соответствующих Подделка межсайтовых запросов Защита (CSFR) для трех различных процессов: вход в Facebook, выход из Facebook и подключение к сторонней учетной записи. Эта уязвимость, по существу, позволяет нежелательной стороне выполнять действия в аутентифицированной учетной записи. Вы можете понять, почему это будет серьезной проблемой.

Ая-безопасность СМБЫ-пароль кража

Тем не менее, Facebook пока решил сделать очень мало для решения этой проблемы, поскольку это поставило бы под угрозу их собственную совместимость с огромным количеством сайтов. Третий вопрос может быть исправлен любым заинтересованным владельцем веб-сайта, но первые два лежат исключительно у двери Facebook.

Чтобы еще раз продемонстрировать отсутствие действий, предпринятых Facebook, Хомаков продвинул проблему дальше, выпустив хакерский инструмент под названием RECONNECT. Это использует ошибку, позволяя хакерам создавать и вставлять пользовательские URL-адреса, используемые для взлома учетных записей на сторонних сайтах. Хомаков можно назвать безответственный за выпуск инструмента В чем разница между хорошим хакером и плохим хакером? [Мнение]Время от времени мы слышим что-то в новостях о взломе сайтов хакерами, множество программ, или угрожают пробраться в районы с высоким уровнем безопасности, где они не должен принадлежать. Но если... Прочитайте больше , но вина лежит прямо на отказе Facebook исправить уязвимость выявлено более года назад.

Войти на Facebook

А пока оставайтесь бдительными. Не нажимайте ненадежные ссылки со страниц, выглядящих как спам, и не принимайте запросы на добавление в друзья от незнакомых вам людей. Facebook также опубликовал заявление, в котором говорится:

«Это хорошо понятое поведение. Разработчики сайтов, использующие Login, могут предотвратить эту проблему, следуя нашим рекомендациям и используя параметр «state», который мы предоставляем для OAuth Login ».

Обнадеживающий.

Случай 1а: Кто подружился со мной?

Другие пользователи Facebook становятся жертвой другого «сервиса», который охотится на кражу учетных данных OAuth. Вход в систему OAuth предназначен для того, чтобы пользователи не могли вводить свой пароль в любое стороннее приложение или службу, поддерживая стену безопасности.

Отменить уведомление

Услуги, такие как UnfriendAlert охотятся на людей, пытающихся выяснить, кто отказался от их онлайн-дружбы, просят людей ввести свои учетные данные, а затем отправляют их прямо на вредоносный сайт yougotunfriended.com. UnfriendAlert классифицируется как потенциально нежелательная программа (PUP), преднамеренно устанавливающая рекламное и вредоносное ПО.

К сожалению, Facebook не может полностью остановить подобные сервисы, поэтому пользователи должны сохранять бдительность и не поддавайтесь на вещи, которые кажутся хорошими, чтобы быть правдой.

Случай 2: ошибка Google Apps

Наша вторая уязвимость связана с недостатком Google Apps в обработке регистраций доменных имен. Если вы когда-либо регистрировали веб-сайт, вы знаете, что предоставление вашего имени, адреса, адреса электронной почты и другой важной частной информации имеет важное значение для процесса. После регистрации любой, у кого достаточно времени, может запустить Кто найти эту публичную информацию, если вы не разместите запрос при регистрации, чтобы сохранить ваши личные данные в тайне. Эта функция обычно предоставляется за дополнительную плату и является полностью дополнительной.

Войти через Google

Те люди, которые регистрируют сайты через eNom и Запрос частного Whois обнаружил, что их данные медленно просочились в течение 18 месяцев или около того. Дефект программного обеспечения, обнаруженный 19 февраляго и через пять дней он подключался к утечке личных данных при каждом возобновлении регистрации, что потенциально подвергало частных лиц любому количеству проблем защиты данных.

Поиск Whois

Доступ к 282 000 массовых релизов не так прост. Вы не наткнетесь на это в Интернете. Но теперь это неизгладимый недостаток в послужном списке Google, и он одинаково неизгладим из-за огромного количества Интернета. И если даже 5%, 10% или 15% людей начнут получать вредоносные электронные письма с фишингом с высокой степенью адресности, это приведет к огромной головной боли для данных как для Google, так и для eNom.

Случай 3: подделал меня

Это множественная сетевая уязвимость Эта уязвимость затрагивает каждую версию Windows - что вы можете с этим сделать.Что бы вы сказали, если бы мы сказали, что ваша версия Windows подвержена уязвимости, появившейся еще в 1997 году? К сожалению, это правда. Microsoft просто никогда не исправляла это. Твой ход! Прочитайте больше позволяя хакеру снова использовать стороннюю систему входа в систему, используемую многими популярными сайтами. Хакер размещает запрос в идентифицированной уязвимой службе, используя адрес электронной почты жертвы, который ранее был известен уязвимой службе. Затем хакер может подделать данные пользователя с помощью поддельной учетной записи, получив доступ к социальной учетной записи с подтвержденной проверкой электронной почты.

Чистая безопасность

Чтобы этот хак сработал, сторонний сайт должен поддерживать хотя бы одну вход в социальную сеть, используя другого провайдера идентификации, или возможность использовать учетные данные локального личного сайта. Это похоже на взлом Facebook, но было замечено на более широком спектре веб-сайтов, включая Amazon, LinkedIn и MYDIGIPASS среди других, и потенциально могут быть использованы для входа в конфиденциальные службы с злой умысел.

Это не недостаток, это особенность

Некоторые сайты, вовлеченные в этот способ атаки, фактически не позволяют критической уязвимости пролететь под радаром: они встроен непосредственно в систему Ваша конфигурация маршрутизатора по умолчанию делает вас уязвимыми для хакеров и мошенников?Маршрутизаторы редко попадают в безопасное состояние, но даже если вы потратили время на правильную настройку беспроводного (или проводного) маршрутизатора, он все равно может оказаться слабым звеном. Прочитайте больше . Одним из примеров является Twitter. Ванильный Твиттер хороший, если у вас есть один аккаунт. Как только вы управляете несколькими учетными записями, для разных отраслей, подходя к широкому кругу аудиторий, вам необходимо приложение как Hootsuite, или TweetDeck 6 бесплатных способов составить расписание твитовИспользование Twitter действительно о здесь и сейчас. Вы найдете интересную статью, классную картинку, потрясающее видео или, может быть, просто хотите поделиться тем, о чем только что узнали или о чем подумали. Или... Прочитайте больше .

Состав

Эти приложения взаимодействуют с Twitter, используя очень похожую процедуру входа в систему, поскольку им также требуется прямой доступ к вашей социальной сети, и пользователям предлагается предоставить те же разрешения. Это создает сложный сценарий для многих поставщиков социальных сетей, поскольку сторонние приложения приносят так много в социальную сферу, но при этом явно создают неудобства для безопасности как для пользователя, так и для поставщика.

Округлять

Мы определили три уязвимости входа в социальную сеть, которые вы теперь должны уметь выявить и, надеюсь, избежать. Взломы в социальных сетях не исчезнут в одночасье. потенциальная отдача для хакеров 4 лучших хакерских группы и что они хотятЛегко думать о хакерских группах как о каких-то романтических революционерах из задней комнаты. Но кто они на самом деле? За что они стоят и какие атаки они совершали в прошлом? Прочитайте больше слишком велик, и когда крупные технологические компании, такие как Facebook, отказываются действовать в лучших интересах их пользователей, это в основном открывает дверь и позволяет им вытереть ноги о конфиденциальности данных тряпка.

Был ли ваш социальный аккаунт взломан третьей стороной? Что произошло? Как вы поправились?

Кредит изображения:бинарный код Via Shutterstock, Структура через Pixabay

Гэвин - старший писатель MUO. Он также является редактором и SEO-менеджером сайта крипто-ориентированных сайтов MakeUseOf, Blocks Decoded. Он имеет степень бакалавра (с отличием) современного письма с практиками цифрового искусства, разграбленного с холмов Девона, а также более чем десятилетний профессиональный опыт написания. Он наслаждается обильным количеством чая.