Hirdetés

Jelentkezz be facebookal. Bejelentkezés a Google-lal. A webhelyek rendszeresen kihasználják a bejelentkezés vágyát könnyedén annak biztosítása érdekében, hogy meglátogatjuk, és hogy megragadjanak egy szelet a személyes adatokról. De milyen áron? Egy biztonsági kutató a közelmúltban felfedezett egy sebezhetőséget a Jelentkezz be facebookal Ez a szolgáltatás sok ezer webhelyen található. Hasonlóképpen, egy hiba a Google App domain név felületén több százezer személyes adatot tár fel a nyilvánosság számára.

Ezek komoly kérdések, amelyekkel a két legnagyobb háztartási tech-név szembesül. Míg ezeket a kérdéseket megfelelő nyugtalansággal kezelik, és a sebezhetőségeket javítják, elegendő tudatosságot kapnak a nyilvánosság számára? Nézzük meg minden esetet, és mit jelent az internetes biztonság szempontjából.

1. eset: Bejelentkezés a Facebook-on

A Bejelentkezés a Facebook-val sebezhetőség felfedi a fiókjait - de nem a tényleges Facebook jelszavát -, és a harmadik fél által telepített alkalmazásokat, például Bit.ly, Mashable, Vimeo, About.me, és sok más.

instagram viewer

Egor Homakov, a Sakurity biztonsági kutatója felfedezte a kritikus hibát, amely lehetővé teszi a hackereknek, hogy visszaéljenek a Facebook-kód felügyeletével. A hibát a megfelelő hiány okozza Telephelyközi hamisítási kérés (CSFR) védelme három különféle folyamathoz: Facebook Bejelentkezés, Facebook kijelentkezés és Harmadik féltől származó fiókkapcsolat. A biztonsági rés lényegében lehetővé teszi a nem kívánt felek számára, hogy műveleteket hajtsanak végre egy hitelesített fiókban. Láthatja, miért lenne ez jelentős kérdés.

MUO-security-SMB-jelszó-lopás

A Facebook azonban mégis úgy döntött, hogy nagyon keveset tesz a kérdés megoldása érdekében, mivel ez veszélyeztetné a saját kompatibilitását a nagyszámú webhellyel. A harmadik kérdést bármely érintett weboldaltulajdonos javíthatja, ám az első kettő kizárólag a Facebook ajtaján fekszik.

A Facebook cselekedete hiányának további szemléltetése érdekében Homakov tovább hajtotta a kérdést egy RECONNECT nevű hackeres eszköz kiadásával. Ez kihasználja a hibát, lehetővé téve a hackerek számára, hogy egyéni URL-eket hozzanak létre és illesszenek be a fiókok eltérítésére harmadik fél webhelyein. Homakov hívható a szerszám elengedése felelőtlen Mi a különbség a jó hackerek és a rossz hackerek között? [Vélemény]Időről időre hallunk valamit a hírekben arról, hogy a hackerek lebontják a webhelyeket, kihasználják a sokféle program, vagy azzal fenyegetőzve, hogy nagy biztonságú térségekbe kerülnek, ahol vannak nem kellene tartoznia. De ha... Olvass tovább , de a hibát egyértelműen a Facebook elutasítja, hogy javítsa a biztonsági rést több mint egy évvel ezelőtt került napvilágra.

Bejelentkezés a Facebook-ba

Időközben maradjon éber. Ne kattintson a spam jellegű oldalakon lévő megbízhatatlan linkekre, és ne fogadjon el olyan barátok kéréseit, akiket nem ismersz. A Facebook szintén kiadott egy nyilatkozatot:

„Ez egy jól érthető viselkedés. A bejelentkezést használó webhely-fejlesztők megakadályozhatják ezt a problémát, ha betartják a bevált gyakorlatainkat és az „állapot” paramétert használják, amelyet az OAuth bejelentkezéshez nyújtunk. ”

Bátorító.

1a. Eset: Ki engem nem barátságos?

A többi Facebook-felhasználó áldozatul esik egy újabb „szolgáltatás” áldozatáért, amely harmadik fél OAuth bejelentkezési adatainak ellopására vonatkozik. Az OAuth bejelentkezést úgy tervezték meg, hogy megakadályozza a felhasználók jelszavainak bevitelét harmadik féltől származó alkalmazásokhoz vagy szolgáltatásokhoz, megőrizve a biztonság falát.

Unfriend Notify

Szolgáltatások, mint például UnfriendAlert áldozatok azoknak az egyéneknek, akik megpróbálják felfedezni, ki hagyta el az online barátságukat, és felkéri az egyéneket, hogy adja meg bejelentkezési hitelesítő adataikat - majd egyenesen rosszindulatú webhelyre küldik yougotunfriended.com. Az UnfriendAlert potenciálisan nem kívánt programnak (PUP) van besorolva, amely szándékosan telepíti az adware-t és a rosszindulatú programokat.

Sajnos a Facebook nem tudja teljesen megszüntetni az ilyen szolgáltatásokat, ezért a szolgáltatók felhasználóinak vigyázni kell az éberségre és nem esik olyan dolgokra, amelyek jónak tűnnek igaznak.

2. eset: Google Apps Bug

Második sebezhetőségünk abból a hibából származik, hogy a Google Apps kezeli a domain név regisztrációját. Ha valaha regisztrált egy webhelyet, akkor tudnia kell, hogy megadja a nevét, címét, e-mail címét és más fontos személyes információkat, amelyek nélkülözhetetlenek a folyamathoz. A regisztráció után bárki, akinek van elég ideje, képes fut a Kicsoda hogy megtalálja ezt a nyilvános információt, kivéve, ha a regisztráció során kéri a személyes adatainak bizalmas kezelését. Ez a szolgáltatás általában költséggel jár, és teljesen opcionális.

Jelentkezzen be a Google-lal

Azok a személyek, akik az eNom-on keresztül regisztrálják a webhelyeket és egy magán Whois kérése szerint 18 hónapon keresztül lassan kiszivárogtak adatai. A szoftverhibát február 19-én fedezték felth és öt nappal később csatlakoztatva volt, a nyilvántartás megújításakor kiszivárogtatott személyes adatokat, és ezáltal a magánszemélyeket számos adatvédelmi kérdésnek teheti ki.

Whois keresés

A 282 000 nagy mennyiségű kiadás elérése nem könnyű. Nem botlik át rajta az interneten. De ez kitörölhetetlen hiba a Google múltbeli eredményeihez, és ugyanolyan kitörölhetetlen az Internet hatalmas spektrumától. És ha az egyének akár 5% -a, 10% -a vagy 15% -a kezdi megkapni erősen célzott, rosszindulatú lándzsás adathalász e-maileket, akkor ez a léggömböket súlyos adatfájdalom okozza mind a Google, mind az eNom számára.

3. eset: Kísértetteljes én

Ez egy többszörös hálózati sebezhetőség A biztonsági rés minden Windows verziót érint - mit tehetsz vele.Mit mondanál, ha azt mondanánk neked, hogy a Windows verzióját 1997-től származó sebezhetőség érinti? Sajnos ez igaz. A Microsoft egyszerűen soha nem javította meg. Te jössz! Olvass tovább lehetővé téve a hackerek számára, hogy újból kihasználják a harmadik fél bejelentkezési rendszereit, amelyeket oly sok népszerű oldal használ fel. A hacker egy azonosított kiszolgáltatott szolgáltatással kérést küld az áldozat e-mail címével, amelyet korábban ismert a kiszolgáltatott szolgáltatás. A hacker ezután meghamisíthatja a felhasználó adatait a hamis fiókkal, hozzáféréssel a közösségi fiókhoz, megerősített e-mail igazolással.

Net biztonság

Ahhoz, hogy ez a hack működjön, a harmadik fél webhelyének támogatnia kell legalább egy másik közösségi hálózatba történő bejelentkezést egy másik identitásszolgáltató segítségével, vagy a helyi személyes webhely hitelesítő adatainak használatát. Hasonló a Facebook hackhez, de a webhelyek szélesebb skáláján, például az Amazon, Többek között a LinkedIn és a MYDIGIPASS, és potenciálisan felhasználhatók az érzékeny szolgáltatásokba való bejelentkezésre rosszindulatú szándék.

Ez nem egy hiba, hanem egy szolgáltatás

Az ilyen támadásmóddal érintett helyek egy része nem engedte meg, hogy a kritikus sebezhetőség repüljön a radar alatt: ők közvetlenül a rendszerbe beépítve Az alapértelmezett router-konfiguráció sebezhetővé teszi-e a hackereket és a csalókat?Az útválasztók ritkán érkeznek biztonságos állapotba, de még ha időt is vett a vezeték nélküli (vagy vezetékes) útválasztó megfelelő konfigurálására, ez továbbra is a gyenge összeköttetés lehet. Olvass tovább . Az egyik példa a Twitter. Vanília Twitter , ha van egy fiókja. Ha egyszerre több fiókot kezel, különböző iparágak számára, és sok közönséghez közeledik, akkor szüksége van egy alkalmazásra mint például a Hootsuite vagy a TweetDeck 6 ingyenes lehetőség a Tweetek ütemezéséreA Twitter használata valójában itt és most szól. Talál egy érdekes cikket, egy hűvös képet, egy fantasztikus videót, vagy talán csak azt szeretné megosztani, amire éppen rájött vagy gondolkodott. Bármelyik... Olvass tovább .

Szerkezet

Ezek az alkalmazások nagyon hasonló bejelentkezési eljárással kommunikálnak a Twitter-rel, mivel ők is közvetlen hozzáférést igényelnek a közösségi hálózathoz, és a felhasználókat felkérik, hogy ugyanazokat az engedélyeket adjanak meg. Bonyolult forgatókönyvet teremt sok szociális hálózati szolgáltató számára, mivel a harmadik féltől származó alkalmazások annyit hoznak a szociális szférába, ugyanakkor egyértelműen biztonsági kellemetlenségeket okoznak mind a felhasználó, mind a szolgáltató számára.

Felhajt

Három és egy bites szociális bejelentkezési biztonsági réseket azonosítottunk, amelyeket Önnek most már képesnek kell lennie azonosítani és remélhetőleg elkerülni. A társadalmi bejelentkezési hackok nem fognak kiszáradni egyik napról a másikra. Az a hackerek potenciális megtérülése 4 legnépszerűbb hackerek csoportja és mit akarnakKönnyű úgy gondolni, hogy a hacker csoportok valamiféle romantikus hátsó szoba forradalmárok. De kik ők valójában? Mit képviselnek és milyen támadásokat hajtottak végre a múltban? Olvass tovább túl nagy, és amikor a hatalmas technológiájú cégek, mint például a Facebook, megtagadják a legjobb érdekeket a felhasználók számára alapvetően az ajtó kinyitása, és hagyása, hogy megtöröljék a lábukkal az adatvédelmet lábtörlő.

Harmadik fél veszélyeztette társadalmi fiókját? Mi történt? Hogyan gyógyultál?

Kép jóváírás:bináris kód A Shutterstockon keresztül, Szerkezet a Pixabay-n keresztül

Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvére webhelyének, a Blocks Decoded szerkesztője és SEO igazgatója. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.