Publicitate

Logheaza-te cu Facebook. Conectați-vă cu Google. Site-urile site-ului valorifică în mod regulat dorința noastră de a vă conecta cu ușurință pentru a ne asigura că vizităm și pentru a ne asigura că preiau o porție de plăcintă cu date personale. Dar cu ce cost? Un cercetător în domeniul securității a descoperit recent o vulnerabilitate în Logheaza-te cu Facebook caracteristică găsită pe multe mii de site-uri. În mod similar, o eroare din interfața de nume de domeniu Google App a expus publicului sute de mii de persoane private.

Acestea sunt probleme grave cu care se confruntă două dintre cele mai mari nume tehnologice ale gospodăriei. În timp ce aceste probleme vor fi tratate cu tulburări adecvate și vulnerabilități corelate, este suficientă conștientizarea publicului? Să ne uităm la fiecare caz și ce înseamnă pentru securitatea web.

Cazul 1: conectați-vă cu Facebook

Conectarea cu vulnerabilitatea Facebook vă expune conturile - dar nu parola dvs. reală Facebook - și aplicațiile terțe pe care le-ați instalat, cum ar fi Bit.ly, Mashable, Vimeo, About.meși gazdă de alții.

instagram viewer

Defectul critic, descoperit de Egor Homakov, cercetător de securitate pentru Sakurity, permite hackerilor să abuzeze de o supraveghere a codului Facebook. Defectul provine dintr-o lipsă adecvată Falsificare a cererii încrucișate Protecție (CSFR) pentru trei procese diferite: Conectare Facebook, Deconectare Facebook și Conexiune cont terță parte. Vulnerabilitatea permite, în esență, unei părți nedorite să efectueze acțiuni într-un cont autentificat. Puteți vedea de ce aceasta ar fi o problemă semnificativă.

Muo-securitate-parolă-smb furt

Cu toate acestea, Facebook a ales, până acum, să facă foarte puțin pentru a rezolva problema, deoarece ar compromite propria compatibilitate cu un număr mare de site-uri. Cea de-a treia problemă poate fi rezolvată de orice proprietar al site-ului în cauză, dar primele două se află exclusiv la ușa Facebook.

Pentru a exemplifica în continuare lipsa de acțiune făcută de Facebook, Homakov a împins problema mai departe, eliberând un instrument de hackeri numit RECONNECT. Aceasta exploatează eroarea, permițând hackerilor să creeze și să insereze adrese URL personalizate folosite pentru a deturna conturi pe site-uri terțe. Homakov ar putea fi numit iresponsabil pentru eliberarea instrumentului Care este diferența dintre un hacker bun și un hacker rău? [Opinie]Din când în când, auzim ceva în știrile despre hackerii care doresc site-uri, exploatează o o multitudine de programe sau amenințându-se să-și croiască drum în zonele de înaltă securitate unde se află nu ar trebui să aparțină. Dar dacă... Citeste mai mult , dar vina este totală din refuzul Facebook de a remedia vulnerabilitatea scoasă la lumină acum mai bine de un an.

Autentificare pentru Facebook

Între timp, rămâne vigilent. Nu faceți clic pe link-urile de încredere din paginile cu aspect spamm și nu acceptați solicitările prietenilor de la persoane pe care nu le cunoașteți. De asemenea, Facebook a lansat o declarație care spune:

„Acesta este un comportament bine înțeles. Dezvoltatorii de site-uri care utilizează Logare pot preveni această problemă urmând cele mai bune practici și folosind parametrul „starea” pe care îl furnizăm pentru autentificarea OAuth. ”

Încurajarea.

Cazul 1a: Cine nu mi-a fost prieten?

Alți utilizatori Facebook sunt pradă pentru un alt „serviciu” care preia furtul de credite de autentificare de la terțe părți. Logarea OAuth este concepută pentru a opri utilizatorii să introducă parola lor în orice aplicație sau serviciu terță parte, păstrând peretele securității.

Prieten Notifică

Servicii precum UnfriendAlert pradă persoanelor care încearcă să descopere cine a renunțat la prietenia lor online, solicitând persoanelor fizice să-și înscrie datele de autentificare - apoi să le trimită direct pe site-ul rău intenționat yougotunfriended.com. UnfriendAlert este clasificat ca un Program PUP (Potențial nedorit), instalând intenționat adware și malware.

Din păcate, Facebook nu poate opri în totalitate serviciile de acest fel, așa că onus este pe utilizatorii serviciului să rămână vigilenți și să nu cădem pentru lucruri care par a fi bune să fie adevărate.

Caz 2: Eroare Google Apps

A doua noastră vulnerabilitate provine dintr-un defect în gestionarea Google Apps a înregistrărilor de nume de domeniu. Dacă ați înregistrat vreodată un site web, veți cunoaște furnizarea numelui, adresei, adresei de e-mail și a altor informații private importante pentru acest proces. În urma înregistrării, oricine are suficient timp poate a alerga a Care este pentru a găsi această informație publică, cu excepția cazului în care faceți o solicitare în timpul înregistrării pentru a păstra datele dvs. cu caracter personal. Această caracteristică de obicei costă și este în întregime opțională.

Conectați-vă cu Google

Persoanele care înregistrează site-uri prin eNom și Solicitarea unui Whois privat a constatat că datele lor au fost trecute lent pe o perioadă de 18 luni sau mai mult. Defectul software, descoperit pe 19 februarielea și a conectat cinci zile mai târziu, a scurs date private de fiecare dată când a fost reînnoită o înregistrare, putând expune persoanele private la orice număr de probleme de protecție a datelor.

Căutare Whois

Accesarea celor 282.000 de înregistrări în vrac nu este ușor. Nu veți împiedica asta pe web. Însă acum este un neplăcut de neșters pe palmaresul Google și este la fel de indelebil din vastele ecrane ale Internetului. Și dacă chiar și 5%, 10% sau 15% dintre indivizi încep să primească e-mailuri de tip phishing spear, foarte rău vizate, acest lucru emite baloane într-o problemă majoră de date atât pentru Google cât și pentru eNom.

Cazul 3: Spoofed Me

Acesta este un vulnerabilitate multiplă a rețelei Fiecare versiune de Windows este afectată de această vulnerabilitate - Ce puteți face despre aceasta.Ce ați spune dacă v-am spune că versiunea dvs. de Windows este afectată de o vulnerabilitate care datează din 1997? Din păcate, acest lucru este adevărat. Microsoft pur și simplu nu a patch-o niciodată. Randul tau! Citeste mai mult permițând unui hacker să exploateze din nou conectarea de către terți în sisteme puse la dispoziție de atât de multe site-uri populare. Hackerul pune o solicitare cu un serviciu vulnerabil identificat folosind adresa de e-mail a victimei, una care a fost cunoscută anterior serviciului vulnerabil. Apoi, hackerul poate strica detaliile utilizatorului cu contul fals, obținând acces la contul social complet cu verificarea prin e-mail confirmată.

Securitate netă

Pentru ca acest hack să funcționeze, site-ul terț trebuie să suporte cel puțin o altă conectare la rețeaua socială folosind un alt furnizor de identitate sau posibilitatea de a utiliza acreditările site-urilor personale personale. Este similar cu hack-ul Facebook, dar a fost văzut pe o gamă mai largă de site-uri web, inclusiv Amazon, LinkedIn și MYDIGIPASS, printre altele, și ar putea fi utilizate pentru a vă conecta la servicii sensibile cu intenție răutăcioasă

Nu este un defect, este o caracteristică

Unele dintre site-urile implicate în acest mod de atac nu au lăsat o vulnerabilitate critică să zboare sub radar: sunt încorporat direct în sistem Configurația dvs. de router implicită vă face vulnerabilă pentru hackeri și escroci?Routerele ajung rareori într-o stare sigură, dar chiar dacă v-ați luat timpul pentru a configura corect routerul wireless (sau cu fir), acesta se poate dovedi totuși a fi legătura slabă. Citeste mai mult . Un exemplu este Twitter. Vanilla Twitter este bun, dacă aveți un singur cont. După ce gestionați mai multe conturi, pentru diferite industrii, abordând o gamă largă de audiențe, aveți nevoie de o aplicație precum Hootsuite sau TweetDeck 6 moduri gratuite de a planifica TweeturiUtilizarea Twitter este cu adevărat despre aici și acum. Găsești un articol interesant, o imagine interesantă, un videoclip nemaipomenit sau poate vrei doar să împărtășești ceva ce tocmai ai realizat sau te-ai gândit. Fie... Citeste mai mult .

Structura

Aceste aplicații comunică cu Twitter folosind o procedură de conectare foarte similară, deoarece au nevoie și de acces direct la rețeaua dvs. socială, iar utilizatorilor li se cere să ofere aceleași permisiuni. Creează un scenariu dificil pentru mulți furnizori de rețele sociale, deoarece aplicațiile terțe aduc atât de mult în sfera socială, dar creează în mod clar inconveniente de securitate atât pentru utilizator cât și pentru furnizor.

A rotunji

Am identificat vulnerabilități de conectare socială pe trei și un pic pe care ar trebui să le puteți identifica și să le evitați. Hack-urile de conectare socială nu se vor usca peste noapte. rambursarea potențială a hackerilor 4 grupuri de hackeri de top și ce dorescEste ușor să crezi grupurile de hackeri ca un fel de revoluționari romantici din sală. Dar cine sunt ei cu adevărat? Ce reprezintă și ce atacuri au dus în trecut? Citeste mai mult este prea mare, iar când companiile de tehnologii masive precum Facebook refuză să acționeze în interesul cel mai bun a utilizatorilor lor, practic este să deschidă ușa și să-i lase să-și șteargă picioarele de confidențialitatea datelor rogojină.

Contul dvs. social a fost compromis de un terț? Ce s-a întâmplat? Cum te-ai recuperat?

Credit imagine:cod binar Via Shutterstock, Structura prin Pixabay

Gavin este un scriitor principal pentru MUO. El este, de asemenea, editorul și managerul SEO pentru site-ul suror-focalizat MakeUseOf, Blocks Decoded. Are o diplomă de scriere contemporană (Hons), cu practici de artă digitală, puse de pe dealurile Devon, precum și peste un deceniu de experiență de scriere profesională. Îi savurează cantități copioase de ceai.