Reklama

Prihlásiť sa cez Facebook. Prihláste sa pomocou Google. Webové stránky pravidelne využívajú našu túžbu prihlásiť sa s ľahkosťou, aby sme zaistili, že navštívime, a zaistíme, aby si vzali kúsok koláča osobných údajov. Ale za akú cenu? Výskumník v oblasti bezpečnosti nedávno objavil zraniteľnosť v systéme Windows 7 Prihlásiť sa cez Facebook Táto funkcia sa nachádza na mnohých tisícoch webových stránok. Podobne chyba v rozhraní názvu domény Google App vystavila verejnosti stovky tisícov súkromných údajov.

Toto sú vážne problémy, ktorým čelia dve najväčšie technické názvy domácností. Aj keď sa s týmito problémami bude zaobchádzať s primeraným znepokojením a odstránia sa zraniteľné miesta, je verejnosť dostatočne informovaná? Pozrime sa na každý prípad a čo to znamená pre vaše webové zabezpečenie.

Prípad 1: Prihláste sa cez Facebook

Chyba zabezpečenia Prihlásenie s Facebookom vystavuje vaše účty - ale nie vaše skutočné heslo Facebook - a aplikácie tretích strán, ktoré ste nainštalovali, ako napríklad Bit.ly, Mashable, Vimeo, About.mea mnoho ďalších.

instagram viewer

Kritická chyba, ktorú objavil Egor Homakov, výskumný pracovník v oblasti bezpečnosti pre Sakurity, umožňuje hackerom zneužívať dohľad nad kódom Facebook. Táto chyba pramení z nedostatku primeraného Falšovanie žiadostí o viac stránok (CSFR) pre tri rôzne procesy: prihlásenie na Facebook, odhlásenie na Facebook a pripojenie k tretím stranám. Táto zraniteľnosť v podstate umožňuje nechcenej strane vykonávať akcie v rámci overeného účtu. Uvidíte, prečo by to bol významný problém.

Muo-security-koho-password odcudzenie

Napriek tomu sa Facebook zatiaľ rozhodol pre riešenie problému len veľmi málo, pretože by to ohrozilo ich vlastnú kompatibilitu s veľkým počtom stránok. Tretie vydanie môže vyriešiť ktorýkoľvek dotknutý vlastník webových stránok, prvé dve však ležia výlučne pri dverách Facebooku.

Aby sme ešte viac ilustrovali nedostatok krokov zo strany Facebooku, Homakov posunul problém ďalej tým, že vydal hackerský nástroj s názvom RECONNECT. Toto zneužíva chybu a umožňuje hackerom vytvárať a vkladať vlastné adresy URL, ktoré sa používajú na ukradnutie účtov na stránkach tretích strán. Homakov by sa dalo nazvať nezodpovedný za uvoľnenie nástroja Aký je rozdiel medzi dobrým hackerom a zlým hackerom? [Názor]Tu a tam počujeme niečo v správach o hackeroch, ktorí stránky odstraňujú, využívajú a množstvo programov, alebo hrozí, že sa krúti do oblastí s vysokou bezpečnosťou, kde sa nachádzajú nemal by patriť. Ale ak... Čítaj viac , ale vina spočíva priamo v odmietnutí tejto chyby zo strany Facebooku vyšli na svetlo pred rokom.

Prihláste sa na Facebook

Medzitým buďte ostražití. Neklikajte na nedôveryhodné odkazy zo stránok, ktoré nevyzerajú spamom, ani neprijímajte žiadosti o priateľstvo od ľudí, ktorých nepoznáte. Facebook tiež vydal vyhlásenie, ktoré hovorí:

„Toto je dobre pochopené správanie. Vývojári webových stránok, ktorí používajú prihlasovacie meno, môžu tomuto problému zabrániť dodržiavaním našich osvedčených postupov a použitím parametra „state“, ktorý poskytujeme pre prihlásenie pomocou protokolu OAuth. “

Povzbudivé.

Prípad 1a: Kto ma nepriznal?

Ostatní používatelia Facebooku prepadajú inej „službe“, ktorá zneužíva krádež prihlasovacích údajov tretej strany OAuth. Prihlasovacie meno OAuth je určené na to, aby zabránilo používateľom zadávať svoje heslo do akejkoľvek aplikácie alebo služby tretej strany a udržiavať tak stenu bezpečnosti.

Upozorniť na priateľa

Služby ako UnfriendAlert korisť pre jednotlivcov, ktorí sa pokúšajú zistiť, kto sa vzdal svojho online priateľstva a požiadal jednotlivcov, aby zadali svoje prihlasovacie údaje - a potom ich poslali priamo na škodlivé stránky yougotunfriended.com. UnfriendAlert je klasifikovaný ako potenciálne nežiaduci program (PUP), ktorý zámerne inštaluje adware a malware.

Facebook, žiaľ, nedokáže úplne zastaviť služby, ako je táto, a preto je na užívateľovi, aby ostalo ostražité a nespadajú za veci, ktoré sa zdajú byť dobré.

Prípad 2: Chyba služby Google Apps

Naša druhá chyba zabezpečenia pramení z nedostatkov v spracovávaní registrácií doménových mien v službe Google Apps. Ak ste už niekedy zaregistrovali web, budete vedieť, že v tomto procese je potrebné uviesť svoje meno, adresu, e-mailovú adresu a ďalšie dôležité súkromné ​​informácie. Po registrácii môže ktokoľvek s dostatočným časom spustiť a Kto je nájsť tieto verejné informácie, pokiaľ počas registrácie nepožiadate o zachovanie osobných údajov. Táto funkcia je zvyčajne za poplatok a je úplne voliteľná.

Prihláste sa pomocou Google

Tí jednotlivci, ktorí registrujú stránky prostredníctvom eNom a žiadosť súkromného Whois, ktorý zistil, že jeho údaje boli pomaly preniknuté počas obdobia približne 18 mesiacov. Chyba softvéru zistená 19. februárath a pripojená o päť dní neskôr, únikové súkromné ​​údaje zakaždým, keď sa obnovila registrácia, čo potenciálne vystavuje súkromné ​​osoby akémukoľvek množstvu problémov s ochranou údajov.

Whois Vyhľadávanie

Prístup k vydaniu 282 000 hromadných záznamov nie je ľahký. Na webe sa s tým nestretnete. Teraz je to však nezmazateľná chyba v zázname spoločnosti Google a je rovnako nezmazateľná z rozsiahlych častí internetu. A ak dokonca 5%, 10% alebo 15% jednotlivcov začne dostávať vysoko cielené a škodlivé e-maily s cieľom neoprávneného získavania údajov, vydá to balóniky do veľkých problémov s údajmi pre spoločnosť Google aj eNom.

Prípad 3: Spoofed Me

Toto je zraniteľnosť viacerých sietí Každá chyba systému Windows je ovplyvnená touto chybou zabezpečenia - čo s tým môžete urobiť.Čo by ste povedali, keby sme vám povedali, že vaša verzia systému Windows je ovplyvnená zraniteľnosťou, ktorá siaha až do roku 1997? Bohužiaľ, je to pravda. Microsoft to jednoducho nikdy neopravil. Si na rade! Čítaj viac čo hackerovi umožňuje znova využívať prihlasovacie systémy tretích strán využívané toľkými populárnymi webmi. Hacker podá žiadosť s identifikovanou zraniteľnou službou pomocou e-mailovej adresy obete, ktorá je zraniteľnej službe predtým známa. Hacker môže potom falošným účtom podrobiť informácie o používateľovi a získať prístup k sociálnemu účtu spolu s potvrdením e-mailom.

Čistá bezpečnosť

Aby tento hack fungoval, musí web tretej strany podporovať aspoň jedno ďalšie prihlásenie do sociálnej siete pomocou iného poskytovateľa identity alebo schopnosť používať poverenia miestnej osobnej webovej stránky. Je to podobné hacku na Facebooku, ale bolo zaznamenané na celom rade webových stránok vrátane Amazonu, LinkedIn a MYDIGIPASS, medzi inými, a mohli by sa potenciálne použiť na prihlásenie do citlivých služieb pomocou škodlivý úmysel.

Nie je to chyba, je to vlastnosť

Niektoré z lokalít zapojených do tohto spôsobu útoku neumožnili letieť pod radarom kritickú zraniteľnosť: zabudované priamo do systému Prispieva vaša predvolená konfigurácia smerovača k zraniteľným hackerom a podvodníkom?Smerovače sa zriedka dostanú do bezpečného stavu, ale aj keď ste si našli čas na správne nakonfigurovanie bezdrôtového (alebo káblového) smerovača, stále sa môže ukázať ako slabý článok. Čítaj viac . Jedným z príkladov je Twitter. Vanilla Twitter je dobrý, ak máte jeden účet. Keď spravujete viac účtov pre rôzne odvetvia a oslovujete široké publikum, potrebujete aplikáciu ako napríklad Hootsuite alebo TweetDeck 6 bezplatných spôsobov, ako naplánovať TweetyPoužívanie Twitteru je naozaj o tu a teraz. Nájdete tu zaujímavý článok, skvelý obrázok, úžasné video, alebo možno len chcete zdieľať niečo, čo ste si práve uvedomili alebo na čo ste mysleli. Bud '... Čítaj viac .

štruktúra

Tieto aplikácie komunikujú so službou Twitter pomocou veľmi podobného postupu prihlásenia, pretože tiež potrebujú priamy prístup k vašej sociálnej sieti a od používateľov sa vyžaduje rovnaké povolenie. Vytvára zložitý scenár pre mnohých poskytovateľov sociálnych sietí, pretože aplikácie tretích strán prinášajú toľko do sociálnej sféry, ale jasne vytvárajú nepríjemnosti v bezpečnosti pre používateľov aj poskytovateľov.

Roundup

Identifikovali sme tri a slabé slabiny sociálneho prihlásenia, ktorým by ste sa teraz mali vedieť identifikovať, a dúfajme, že im vyhnete. Hacky sociálneho prihlásenia nebudú cez noc vyschnúť. potenciálna návratnosť pre hackerov 4 najlepšie skupiny hackerov a to, čo chcúJe ľahké si predstaviť hackerské skupiny ako nejaký romantický revolucionár v zadnej miestnosti. Ale kto to vlastne je? Čo znamenajú a aké útoky viedli v minulosti? Čítaj viac je príliš veľká, a keď masívne technológie spoločnosti ako Facebook odmietajú konať v najlepšom záujme ich používateľov v zásade otvára dvere a umožňuje im utrieť si nohy v oblasti ochrany osobných údajov rohožka.

Došlo k ohrozeniu vášho sociálneho účtu treťou stranou? Čo sa stalo? Ako ste sa zotavili?

Obrázok Kredit:binárny kód Cez Shutterstock Štruktúra prostredníctvom Pixabay

Gavin je senior spisovateľom pre MUO. Je tiež editorom a správcom SEO pre sesterské stránky MakeUseOf, zamerané na kryptografiu, Blocks Decoded. Má BA (Hons) súčasné písanie s praxou digitálneho umenia drancované z kopcov Devonu, ako aj viac ako desaťročie profesionálneho písania. Má rád veľké množstvo čaju.