Glavna stranica sigurnosti Kako se Facebook i Google web stranica mogu dovesti do krađe podataka

Kako se Facebook i Google web stranica mogu dovesti do krađe podataka

  • Edmund Richardson
  • 0
  • 3112
  • 558
Oglas

Prijavite se putem Facebooka. Prijavite se putem Googlea. Web stranice redovito utječu na našu želju da se prijavimo s lakoćom kako bismo osigurali da posjetimo i da osiguramo da oni posjekuju komadić osobnih podataka. Ali pod koju cijenu? Istraživač sigurnosti nedavno je otkrio ranjivost u Prijavite se putem Facebooka značajka koja se nalazi na više tisuća web lokacija. Slično tome, bug unutar sučelja naziva domene Google App izložio je stotine tisuća pojedinaca privatne podatke javnosti.

Ovo su ozbiljna pitanja s kojima se susreću dva najveća tehnološka imena u domaćinstvu. Iako će se ta pitanja tretirati s odgovarajućom nelagodom i ugroženim ranjivostima, da li je javnost dovoljno informirana? Pogledajmo svaki slučaj i što to znači za vašu web sigurnost.

Slučaj 1: Prijavite se putem Facebooka

Ranjivost prijave s Facebookom otkriva vaše račune - ali ne i stvarnu Facebook lozinku - i aplikacije trećih proizvođača koje ste instalirali, kao što su Bit.ly, Mashable, Vimeo, About.me, i domaćin drugih.

Kritična mana, koju je otkrio Egor Homakov, sigurnosni istraživač za Sakurinu, omogućava hakerima da zloupotrebe nadzor nad Facebook kodom. Propust proizlazi iz nedostatka odgovarajućeg Krivotvorenje zahtjeva na više stranica (CSFR) zaštita za tri različita procesa: Facebook prijava, Facebook odjava i povezivanje računa treće strane. Ranjivost u osnovi omogućuje neželjenoj strani da izvršava radnje unutar autentificiranog računa. Možete vidjeti zašto bi to bilo značajno pitanje.

Ipak, Facebook je, za sada, izabran da učini vrlo malo na rješavanju tog problema, jer bi to ugrozilo njihovu vlastitu kompatibilnost s velikim brojem stranica. Treće pitanje može riješiti svaki zabrinuti vlasnik web mjesta, ali prva dva leže isključivo na vratima Facebooka.

Kako bi dodatno objasnio nedostatak Facebooka, Homakov je to pitanje dodatno gurnuo izdajući alat za hakere pod nazivom RECONNECT. To iskorištava pogrešku, dopuštajući hakerima stvaranje i umetanje prilagođenih URL-ova koji se koriste za otmicu računa na web-lokacijama trećih strana. Homakov bi se mogao nazvati neodgovornim za puštanje alata Kakva je razlika između dobrog i dobrog hakera? [Mišljenje] Kakva je razlika između dobrog hakera i lošeg hakera? [Mišljenje] S vremena na vrijeme u vijestima čujemo nešto o hakerima kako skidaju stranice, iskorištavaju mnoštvo programa ili prijete da će se probiti na područja visoke sigurnosti gdje im ne bi smjeli pripadati. No, ako ..., ali krivnja se svodi izravno na odbijanje Facebooka da popravi ranjivost iznesen na svjetlo prije godinu dana.

U međuvremenu, budite budni. Ne klikajte nepouzdane veze sa stranica koje izgledaju neželjeno, niti prihvaćajte zahtjeve prijatelja od osoba koje ne poznajete. Facebook je objavio i izjavu u kojoj stoji:

“To je dobro shvaćeno ponašanje. Programeri web mjesta koji se koriste putem Login mogu spriječiti ovaj problem slijedeći naše najbolje prakse i koristeći parametar 'state' koji pružamo za OAuth Login.”

ohrabrujući.

Slučaj 1a: Tko me je odbranio?

Ostali korisnici Facebooka postaju plijen za još jednog “servis” napada na krađu vjerodajnice za prijavu za OAuth treće strane. Prijava za OAuth dizajnirana je tako da zaustavi korisnike da unose svoju lozinku u bilo koju aplikaciju ili uslugu treće strane, održavajući zid sigurnosti.

Usluge kao što su UnfriendAlert pleni na pojedince koji pokušavaju otkriti tko je odustao od internetskog prijateljstva, tražeći od njih da upišu vjerodajnice za prijavu - a zatim ih pošalju izravno na zlonamjernu web lokaciju yougotunfriended.com. UnfriendAlert je klasificiran kao potencijalno neželjeni program (PUP), koji namjerno instalira adware i malware.

Nažalost, Facebook ne može u potpunosti zaustaviti ovakve usluge, pa je korisnik na usluzi oprezan kako bi ostali budni a ne padati na stvari za koje se čini da su dobre istine.

Slučaj 2: programski program Google Apps

Naša druga ranjivost proizlazi iz greške u rukovanju registracijama imena domena pomoću Google Appsa. Ako ste ikad registrirali web mjesto, znat ćete da su ime, adresa, adresa e-pošte i ostale važne privatne informacije od ključne važnosti za postupak. Nakon registracije, svatko s dovoljno vremena može pokrenuti a Tko je pronaći ove javne podatke, osim ako prilikom registracije ne postavite zahtjev za očuvanje privatnosti svojih osobnih podataka. Ova se značajka obično naplaćuje i potpuno je neobavezna.

Oni koji registriraju web-lokacije putem eNom-a i zahtijevanje privatnog Tko je otkrio da su njihovi podaci polako procurili tijekom razdoblja od 18 mjeseci ili malo više. Kvar softvera, otkriven 19. veljačeth i uključen pet dana kasnije, puštali su privatne podatke svaki put kada se registracija obnavlja, potencijalno izlažući privatne osobe bilo kojem broju problema zaštite podataka.

Pristup izdanju 282.000 skupnih zapisa nije jednostavan. Nećete ga spotaknuti na webu. No, sada je to neizbrisiv nedostatak Google-ovih rezultata i jednako je neizbrisiv od velikog broja Interneta. A ako čak 5%, 10% ili 15% pojedinaca počne primati vrlo ciljane, zlonamjerne kopije e-pošte za krađu identiteta, to izdaje balone u veliku glavobolju podataka i za Google i za eNom.

Slučaj 3: Prevario me

Ovo je višestruka ranjivost mreže. Svaku ranjivost utječe na svaku verziju sustava Windows - što u vezi s tim možete učiniti. Ova ranjivost utječe na svaku verziju sustava Windows - što u vezi s tim možete učiniti. Što biste rekli kad bismo vam rekli da na vašu verziju sustava Windows utječe ranjivost koja datira iz 1997. godine? Nažalost, to je istina. Microsoft ga jednostavno nikada nije zakrpao. Tvoj red! dopuštajući hakeru da ponovo iskoristi sustave za prijavu trećih strana koje koriste tako popularne web stranice. Haker postavlja zahtjev s identificiranom ranjivom uslugom pomoću adrese e-pošte žrtve, one koja je od ranije poznata ugroženoj službi. Haker može zatim prevariti pojedinosti korisnika lažnim računom, dobivajući pristup društvenom računu zajedno s potvrđenom potvrdom e-pošte.

Da bi ovaj hack uspio, web-lokacija treće strane mora podržavati najmanje jednu drugu prijavu na društvenoj mreži pomoću drugog davatelja identiteta ili mogućnost korištenja vjerodajnica lokalnih osobnih web stranica. Slično je Facebook haku, ali je viđeno na širem rasponu web stranica, uključujući Amazon, LinkedIn i MYDIGIPASS, među ostalim, a potencijalno bi se mogao koristiti za prijavu u osjetljive usluge sa zlonamjernom namjerom..

Nije mana, to je značajka

Neke web stranice uključene u ovaj način napada zapravo nisu dopustile da kritična ranjivost leti ispod radara: ugrađena su izravno u sustav Da li vas zadana konfiguracija rutera čini ranjivim na hakere i prevare? Čini li vas zadana konfiguracija rutera ranjivom na hakere i prevare? Usmjerivači rijetko dolaze u sigurnom stanju, ali čak i ako ste uzeli vremena da ispravno konfigurirate bežični (ili ožičeni) usmjerivač, i dalje se može pokazati kao slaba veza. , Jedan primjer je Twitter. Vanilla Twitter je dobro, ako imate jedan račun. Nakon što upravljate s više računa, za različite djelatnosti, pristupate različitim publikama, potrebna vam je aplikacija poput Hootsuite ili TweetDeck 6 Free Ways to Schedule Tweets 6 Besplatni načini za raspored tweeta Upotreba Twittera zaista je ovdje i sada. Pronaći ćete zanimljiv članak, cool sliku, fantastičan video ili možda samo želite podijeliti nešto što ste upravo shvatili ili smislili. Ili… .

Te aplikacije komuniciraju s Twitterom vrlo sličnim postupkom prijave jer i njima treba izravni pristup vašoj društvenoj mreži, a korisnici se traže da daju jednaka dopuštenja. Stvara težak scenarij za mnoge davatelje društvenih mreža jer aplikacije trećih proizvođača donose toliko u društvenu sferu, a istovremeno stvaraju neugodnosti za sigurnost i za korisnika i za davatelja usluga.

Okupite se

Identificirali smo tri i pomalo ranjivosti na društvenim prijavama koje biste sada trebali moći prepoznati i nadamo se da ih izbjegavate. Hakeri na društvenim prijavama neće se osušiti preko noći. Potencijalni dobitak za hakere 4 Najbolje hakerske grupe i ono što oni žele 4 Najbolje hakerske grupe i ono što žele Jednostavno je o hakerskim skupinama razmišljati kao o nekakvim romantičnim revolucionarima iz zaleđih soba. Ali tko su oni zapravo? Za što se zalažu i kakve napade su izveli u prošlosti? je prevelik, a kad tvrtke masovne tehnologije poput Facebooka odbiju djelovati u najboljem interesu svojih korisnika, u osnovi otvaraju vrata i puštaju ih da obrišu noge na vratima o privatnosti podataka.

Je li vaš socijalni račun ugrozila treća strana? Što se dogodilo? Kako ste se oporavili?

Kreditna slika: binarni kod Via Shutterstock, Struktura putem Pixabaya




Još ne komentari

Kako znati je li monitor za bebu sigurnosna prijetnja vašoj obitelji
sigurnosti
Da li stvarno želite da Amazon Alexa pozove policiju?
sigurnosti
Kako ostati siguran na mreži i izbjegavati podmetanje URL-ova
sigurnosti
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.