Forside Sikkerhed Hvordan Facebook- og Google-webstedslogins kan føre til datatyveri

Hvordan Facebook- og Google-webstedslogins kan føre til datatyveri

  • Michael Cain
  • 0
  • 3535
  • 1044
Reklame

Login med Facebook. Log ind med Google. Hjemmesider udnytter regelmæssigt vores ønske om at logge ind med lethed for at sikre, at vi besøger, og for at sikre, at de får fat i et udsnit af den personlige datakage. Men til hvilke omkostninger? En sikkerhedsforsker opdagede for nylig en sårbarhed i Login med Facebook findes på mange tusinder af sider. Tilsvarende udsatte en fejl i grænsefladen til Google App-domænenavne hundreder af tusinder af private data til offentligheden.

Dette er alvorlige problemer, der står over for to af de største husholdningsteknologiske navne. Selvom disse problemer bliver behandlet med passende uro og sårbarhederne er rettet, gives der tilstrækkelig opmærksomhed til offentligheden? Lad os se på hvert enkelt tilfælde, og hvad det betyder for din websikkerhed.

Sag 1: Login med Facebook

Sårbarheden Login med Facebook udsætter dine konti - men ikke din faktiske Facebook-adgangskode - og de tredjepartsprogrammer, du har installeret, f.eks. Bit.ly, Mashable, Vimeo, About.me, og vært for andre.

Den kritiske fejl, opdaget af Egor Homakov, sikkerhedsforsker for Sakurity, giver hackere mulighed for at misbruge et tilsyn med Facebook-koden. Fejlen stammer fra en mangel på passende Forfalskning på tværs af anmodninger (CSFR) -beskyttelse til tre forskellige processer: Facebook-login, Facebook-logout og tredjepartskontoforbindelse. Sårbarheden tillader i det væsentlige en uønsket part at udføre handlinger inden for en godkendt konto. Du kan se, hvorfor dette ville være et væsentligt spørgsmål.

Endnu har Facebook endnu ikke valgt at gøre meget lidt for at løse problemet, da det ville kompromittere deres egen kompatibilitet med et stort antal sider. Det tredje nummer kan rettes af enhver berørt webstedsejer, men de to første ligger udelukkende ved Facebook-døren.

For yderligere at eksemplificere den manglende handling, der er foretaget af Facebook, har Homakov skubbet problemet videre ved at frigive et hackerværktøj ved navn RECONNECT. Dette udnytter fejlen og lader hackere oprette og indsætte tilpassede webadresser, der bruges til at kapre konti på tredjepartswebsteder. Homakov kunne kaldes uforsvarligt for at frigive værktøjet Hvad er forskellen mellem en god hacker og en dårlig hacker? [Opinion] Hvad er forskellen mellem en god hacker og en dårlig hacker? [Opinion] Af og til hører vi noget i nyheden om hackere, der nedlægger websteder, udnytter et væld af programmer eller truer med at vinkle sig vej ind i områder med høj sikkerhed, hvor de ikke burde høre hjemme. Men hvis…, men skylden ligger helt i Facebooks afvisning af at afhjælpe sårbarheden bragt i lyset for over et år siden.

I mellemtiden skal du være opmærksom. Klik ikke på ikke-betroede links fra spammy-udseende sider, eller accepter veneforespørgsler fra folk, du ikke kender. Facebook har også frigivet en erklæring, der siger:

“Dette er en velforstået opførsel. Webstedsudviklere, der bruger login, kan forhindre dette problem ved at følge vores bedste praksis og bruge den 'tilstand' -parameter, vi leverer til OAuth-login.”

opmuntrende.

Sag 1a: Who Unfriended Me?

Andre Facebook-brugere falder efter et andet “service” benytter sig af tredjeparts OAuth login-legitimations tyveri. OAuth-login er designet til at forhindre brugere i at indtaste deres adgangskode til enhver tredjeparts applikation eller service og opretholde sikkerhedsmuren.

Tjenester såsom UnfriendAlert bytte for enkeltpersoner, der forsøger at finde ud af, hvem der har afgivet deres online venskab, og bede enkeltpersoner om at indtaste deres loginoplysninger - og derefter sende dem direkte til ondsindet websted yougotunfriended.com. Un FriendAlert er klassificeret som et potentielt uønsket program (PUP), der med vilje installerer adware og malware.

Desværre kan Facebook ikke helt stoppe tjenester som dette, så onus er på tjenestebrugere til at forblive årvågen og ikke falde for ting, der synes at være rigtige.

Tilfælde 2: Google Apps-fejl

Vores anden sårbarhed stammer fra en fejl i Google Apps-håndtering af domænenavnsregistreringer. Hvis du nogensinde har registreret et websted, ved du, hvorvidt dit navn, adresse, e-mail-adresse og andre vigtige private oplysninger er vigtige for processen. Efter registrering kan enhver med nok tid køre en Hvem er at finde disse offentlige oplysninger, medmindre du sender en anmodning under registreringen om at holde dine personlige data private. Denne funktion kommer normalt til en pris og er helt valgfri.

De personer, der registrerer websteder via eNom og på anmodning om en privat Whois, fandt deres data langsomt lækket i en periode på 18 måneder. Softwarefejlen blev opdaget 19. februarth og tilsluttet fem dage senere, lækket private data hver gang en registrering blev fornyet, hvilket potentielt udsatte private for et hvilket som helst antal databeskyttelsesproblemer.

Det er ikke let at få adgang til 282.000 bulk-udgivelser. Du vil ikke snuble over det på nettet. Men det er nu en uudslettelig plet på Googles track record og er lige så uudslettelig fra de store skår af Internettet. Og hvis selv 5%, 10% eller 15% af individerne begynder at modtage meget målrettede, ondsindede spyd phishing-e-mails, udsender dette balloner til en stor datahovedpine for både Google og eNom.

Sag 3: Spooked Me

Dette er en sårbarhed med flere netværk Hver version af Windows påvirkes af denne sårbarhed - Hvad du kan gøre ved det. Hver version af Windows påvirkes af denne sårbarhed - Hvad du kan gøre ved det. Hvad ville du sige, hvis vi fortalte dig, at din version af Windows er påvirket af en sårbarhed, der går tilbage til 1997? Desværre er dette sandt. Microsoft har simpelthen aldrig lappet det. Din tur! der giver en hacker mulighed for igen at udnytte tredjeparts log-in-systemer, der er udnyttet af så mange populære websteder. Hackeren indgiver en anmodning med en identificeret sårbar tjeneste ved hjælp af offerets e-mail-adresse, en, der tidligere er kendt for den sårbare service. Hackeren kan derefter forfalske brugerens detaljer med den falske konto og få adgang til den sociale konto komplet med bekræftet e-mail-bekræftelse.

For at dette hack skal fungere, skal tredjepartswebstedet understøtte mindst et andet socialt netværk-login ved hjælp af en anden identitetsudbyder eller evnen til at bruge lokale personlige webstedsoplysninger. Det ligner Facebook-hacket, men er blevet set på tværs af en bredere vifte af websteder, herunder Amazon, LinkedIn og MYDIGIPASS blandt andre, og kan potentielt bruges til at logge ind på følsomme tjenester med ondsindet intention.

Det er ikke en fejl, det er en funktion

Nogle af de steder, der er involveret i denne angrebetilstand, har faktisk ikke lader en kritisk sårbarhed flyve under radaren: De er indbygget direkte i systemet Gør din standardrouterkonfiguration dig sårbar overfor hackere og svindlere? Gør din standardrouterkonfiguration dig sårbar overfor hackere og svindlere? Routere ankommer sjældent i sikker tilstand, men selv hvis du har taget dig tid til at konfigurere din trådløse (eller kablede) router korrekt, kan det stadig vise sig at være det svage link. . Et eksempel er Twitter. Vanilla Twitter er godt, hvis du har en konto. Når du administrerer flere konti, for forskellige brancher, der nærmer dig en række målgrupper, har du brug for en applikation som Hootsuite eller TweetDeck 6 Gratis måder at planlægge tweets 6 Gratis måder at planlægge tweets Ved hjælp af Twitter handler virkelig om her og nu. Du finder en interessant artikel, et cool billede, en fantastisk video, eller måske vil du bare dele noget, du lige har indset eller tænkt på. Enten ... .

Disse applikationer kommunikerer med Twitter ved hjælp af en meget lignende login-procedure, da de også har brug for direkte adgang til dit sociale netværk, og brugerne bliver bedt om at give de samme tilladelser. Det skaber et vanskeligt scenarie for mange sociale netværksudbydere, da apps fra tredjepart bringer så meget til den sociale sfære, men alligevel skaber klart sikkerhedsmæssige ulemper for både bruger og udbyder.

Runde op

Vi har identificeret tre-og-en-bit sociale login-sårbarheder, som du nu skal være i stand til at identificere og forhåbentlig undgå. Social login-hacks vil ikke tørre natten over. Den potentielle gevinst for hackere 4 Top Hacker-grupper og hvad de vil have 4 Top Hacker-grupper, og hvad de ønsker Det er let at tænke på hackergrupper som en slags romantiske bagværelsrevolutionærer. Men hvem er de egentlig? Hvad står de for, og hvilke angreb har de ført i fortiden? er for stor, og når massive teknologivirksomheder som Facebook nægter at handle til deres brugers interesser, åbner det dybest set og lader dem tørre deres fødder på dørene til databeskyttelse.

Er din sociale konto blevet kompromitteret af en tredjepart? Hvad skete der? Hvordan kom du dig??

Billedkredit: binær kode Via Shutterstock, struktur via Pixabay




Endnu ingen kommentarer

Brug af social login? Tag disse trin for at sikre dine konti
Sikkerhed
Yahoo! Vi har mistet dine data! To år siden…
Sikkerhed
Sådan finder du ud af, om Google har lyttet til dig
Sikkerhed
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.