Logg inn med Facebook. Logg inn med Google. Nettsteder utnytter regelmessig vårt ønske om å logge inn med letthet for å sikre at vi besøker, og for å sikre at de tar et stykke av personoppdateringen. Men til hvilken pris? En sikkerhetsforsker oppdaget nylig et sårbarhet i funksjonen Login med Facebook som ble funnet på tusenvis av nettsteder. På samme måte utgjorde en feil i Google App-domenenavn-grensesnittet hundre tusen enkeltpersoner private data til offentligheten.
Dette er alvorlige problemer som står over for to av de største husholdningstekniske navnene. Mens disse problemene vil bli behandlet med passende uro og sårbarhetene lappes, er nok bevissthet gitt til publikum? La oss se på hvert enkelt tilfelle, og hva det betyr for websikkerheten din.
Sak 1: Logg inn med Facebook
Sårbarheten Login with Facebook viser dine kontoer - men ikke ditt faktiske Facebook-passord - og tredjepartsprogrammene du har installert, for eksempel Bit.ly, Mashable, Vimeo, About.me og en rekke andre.
Den kritiske feilen, oppdaget av Egor Homakov, sikkerhetsforsker for Sakurity, tillater hackere å misbruke et tilsyn i Facebook-koden. Feilen stammer fra mangel på passende CSFR-beskyttelse ( Cross-Site Request Forgery ) for tre forskjellige prosesser: Facebook Login, Facebook Logout og Tredjeparts kontoforbindelse. Sårbarheten gjør det i hovedsak mulig for et uønsket parti å utføre handlinger innenfor en autentisert konto. Du kan se hvorfor dette ville være et betydelig problem.
Men Facebook har likevel valgt å gjøre svært lite for å løse problemet, da det ville kompromittere sin egen kompatibilitet med et stort antall nettsteder. Det tredje problemet kan løses av en berørt nettstedseier, men de to første ligger utelukkende på Facebook-døren.
For å ytterligere eksemplifisere mangelen på handling gjort av Facebook, har Homakov presset problemet videre ved å frigjøre et hackereverktøy som heter RECONNECT. Dette utnytter feilen, slik at hackere oppretter og setter inn egendefinerte nettadresser som brukes til å kapre kontoer på tredjepartswebsteder. Homakov kan bli kalt uansvarlig for å slippe verktøyet. Hva er forskjellen mellom en god hacker og en dårlig hacker? [Opinion] Hva er forskjellen mellom en god hacker og en dårlig hacker? [Uttalelse] Hele nå og da hører vi noe i nyheten om hackere som tar ned nettsteder, utnytter en rekke programmer eller truer med å vri seg inn i områder med høy sikkerhet hvor de ikke bør tilhøre. Men hvis ... Les mer, men skylden ligger rett og slett med Facebooks nektelse å lappe sårbarheten som er kommet til lys over et år siden .
I mellomtiden vær fortsatt årvåken. Ikke klikk på usikre koblinger fra nettsider med spammy-utseende, eller godta vennsforespørsler fra personer du ikke kjenner. Facebook har også gitt ut en uttalelse som sier:
"Dette er en velforståelig oppførsel. Nettstedutviklere ved hjelp av pålogging kan forhindre dette problemet ved å følge vår beste praksis og bruke «state» -parameteren som gir oss OAuth Login. "
Oppmuntrende.
Sak 1a: Hvem unfriended me?
Andre Facebook-brukere faller byttedyr for en annen "tjeneste" preying på tredjeparts OAuth login credential theft. OAuth-påloggingen er utformet for å stoppe brukerne å skrive inn passordet til alle tredjeparts applikasjoner eller tjenester, og opprettholde sikkerhetsvegget.
Tjenester som UnfriendAlert byttedyr på enkeltpersoner som forsøker å oppdage hvem som har avviklet sitt vennskap på nettet, og spør enkeltpersoner om å legge inn sine påloggingsopplysninger - og deretter sende dem direkte til ondsinnet nettsted yougotunfriended.com . UnfriendAlert er klassifisert som et potensielt uønsket program (PUP), med vilje installert adware og malware.
Dessverre kan Facebook ikke helt stoppe tjenester som dette, så det er på tjenestene å forbli årvåken og ikke falle for ting som synes å være gode for å være sanne.
Case 2: Google Apps Bug
Vårt andre sikkerhetsproblem skyldes feil i Google Apps-håndtering av domenenavnsregistreringer. Hvis du noen gang har registrert et nettsted, vil du få vite om ditt navn, adresse, e-postadresse og annen viktig privat informasjon er viktig for prosessen. Etter registrering kan alle som har nok tid kjøre en Whois for å finne denne offentlige informasjonen, med mindre du legger inn en forespørsel under registrering for å beholde dine personlige opplysninger privat. Denne funksjonen kommer vanligvis til en pris, og er helt valgfri.
De personene som registrerte nettsteder gjennom eNom og ber om en privat Whois fant dataene sine, hadde langsomt blitt lekket over en 18-måneders periode. Programvarefeilen, oppdaget 19. februar og koblet til fem dager senere, lekkede private data hver gang en registrering ble fornyet, og potensielt utsette privatpersoner for et hvilket som helst antall databeskyttelsesproblemer.
Å få tilgang til 282 000 bulkreklameutgivelsen er ikke lett. Du vil ikke snuble over det på nettet. Men det er nå en uutslettelig blemish på Googles banespor, og er like uutslettelig fra de store svingene på Internett. Og hvis selv 5%, 10% eller 15% av enkeltpersoner begynner å motta høyt målrettede, ondsinnede spyd phishing-e-postmeldinger, utgir dette ballonger til en stor data hodepine for både Google og eNom.
Case 3: Spoofed Me
Dette er et sikkerhetsproblem i flere nettverk. Hver versjon av Windows påvirkes av dette sikkerhetsproblemet - hva du kan gjøre med det. Hver versjon av Windows påvirkes av dette sikkerhetsproblemet - hva du kan gjøre med det. Hva vil du si hvis vi fortalte deg at din versjon av Windows påvirkes av et sikkerhetsproblem som går tilbake til 1997? Dessverre er dette sant. Microsoft patched aldri det. Din tur! Les mer slik at en hacker igjen kan utnytte tredjepartsloggingssystemene som brukes av så mange populære nettsteder. Hackeren plasserer en forespørsel med en identifisert sårbar tjeneste ved hjelp av offerets e-postadresse, en som tidligere er kjent for den sårbare tjenesten. Hackeren kan da spoofe brukerens detaljer med den falske kontoen, få tilgang til den sosiale kontoen, fullført med bekreftet e-postbekreftelse.
For dette hack å jobbe, må tredjepartssiden støtter minst ett annet sosialt nettverkstegning ved hjelp av en annen identitetsleverandør, eller muligheten til å bruke lokale personlige websider. Det ligner på Facebook-hack, men har blitt sett på tvers av et bredere spekter av nettsteder, blant annet Amazon, LinkedIn og MYDIGIPASS, blant annet, og kan potensielt brukes til å logge på sensitive tjenester med ondsinnet hensikt.
Det er ikke en feil, det er en funksjon
Noen av nettstedene som er involvert i denne angrepsmodusen, har faktisk ikke gitt et kritisk sikkerhetsproblem under radaren: de er bygget direkte inn i systemet. Har din standardruterkonfigurasjon gjort deg utsatt for hackere og svindlere? Konfigurerer standardrutekonfigurasjonen deg for hackere og svindlere? Rutere kommer sjelden i en sikker tilstand, men selv om du har tatt deg tid til å konfigurere den trådløse (eller kablede) ruteren på riktig måte, kan det fortsatt vise seg å være den svake lenken. Les mer . Et eksempel er Twitter. Vanilje Twitter er bra, hvis du har en konto. Når du administrerer flere kontoer, for ulike bransjer, nærmer deg en rekke målgrupper, trenger du et program som Hootsuite eller TweetDeck 6 gratis måter å planlegge tweets 6 gratis måter å planlegge tweets Ved hjelp av Twitter handler egentlig om nå og nå. Du finner en interessant artikkel, et kult bilde, en fantastisk video, eller kanskje du bare vil dele noe du nettopp har skjønt eller tenkt på. Enten ... Les mer.
Disse programmene kommuniserer med Twitter ved hjelp av en veldig lignende innloggingsprosedyre, da de også trenger direkte tilgang til ditt sosiale nettverk, og brukere blir bedt om å gi de samme tillatelsene. Det skaper et vanskelig scenario for mange leverandører av sosiale nettverk, ettersom tredjepartsapper gir så mye til sosialområdet, men skaper tydelig sikkerhetsproblemer for både bruker og leverandør.
Roundup
Vi har identifisert tre-og-a-bit sosiale innloggingsproblemer, du bør nå kunne identifisere og forhåpentligvis unngå. Sosialt påloggingshack kommer ikke til å tørke opp over natten. Den potensielle utbetalingen for hackere 4 Top Hacker-grupper og hva de vil ha 4 Top Hacker-grupper og hva de vil. Det er lett å tenke på hackergrupper som en slags romantiske backroom-revolusjonærer. Men hvem er de egentlig? Hva står de for, og hvilke angrep har de gjennomført tidligere? Les mer er for stor, og når massive teknologier selskaper som Facebook nekter å handle i beste interesse for brukerne, åpner de i utgangspunktet døren og lar dem tørke føttene på datasikkerhetsdørmatet.
Har din sosiale konto blitt skadet av en tredjepart? Hva skjedde? Hvordan ble du frisk?
Bilde Kreditt: Binær kode Via Shutterstock, Struktur via Pixabay