Oglas

Prijavite se putem Facebooka. Prijavite se putem Googlea. Web stranice redovito utječu na našu želju da se prijavimo s lakoćom kako bismo osigurali da posjetimo i da osiguramo da oni posjekuju komadić osobnih podataka. Ali pod koju cijenu? Istraživač sigurnosti nedavno je otkrio ranjivost u Prijavite se putem Facebooka značajka koja se nalazi na više tisuća web lokacija. Slično tome, bug unutar sučelja naziva domene Google App izložio je stotine tisuća pojedinaca privatne podatke javnosti.

Ovo su ozbiljna pitanja s kojima se susreću dva najveća tehnološka imena u domaćinstvu. Iako će se ta pitanja tretirati s odgovarajućom nelagodom i ugroženim ranjivostima, da li je javnost dovoljno informirana? Pogledajmo svaki slučaj i što to znači za vašu web-sigurnost.

Slučaj 1: Prijavite se putem Facebooka

Ranjivost prijave s Facebookom otkriva vaše račune - ali ne i stvarnu Facebook lozinku - i aplikacije treće strane koje ste instalirali, kao što su Bit.ly, Mashable, Vimeo, About.mei domaćin drugih.

instagram viewer

Kritična mana, koju je otkrio Egor Homakov, sigurnosni istraživač za Sakurinu, omogućava hakerima da zloupotrebe nadzor nad Facebook kodom. Propust proizlazi iz nedostatka odgovarajućeg Krivotvorenje zahtjeva na više stranica (CSFR) zaštita za tri različita procesa: Facebook prijava, Facebook odjava i povezivanje računa treće strane. Ranjivost u osnovi omogućuje neželjenoj strani da izvršava radnje unutar autentificiranog računa. Možete vidjeti zašto bi to bilo značajno pitanje.

MUO-sigurnost-SMB-lozinkom krađa

Ipak, Facebook je, za sada, izabran da učini vrlo malo na rješavanju tog problema, jer bi to ugrozilo njihovu kompatibilnost s velikim brojem stranica. Treće pitanje može riješiti svaki zabrinuti vlasnik web stranica, ali prva dva leže isključivo na vratima Facebooka.

Kako bi dodatno objasnio nedostatak Facebooka, Homakov je to pitanje dodatno gurnuo izdajući alat za hakere pod nazivom RECONNECT. To iskorištava pogrešku, dopuštajući hakerima stvaranje i umetanje prilagođenih URL-ova koji se koriste za otmicu računa na web-lokacijama trećih strana. Homakov bi se mogao nazvati neodgovorni za puštanje alata Kakva je razlika između dobrog hakera i lošeg hakera? [Mišljenje]S vremena na vrijeme u vijestima čujemo nešto o hakerima koji ruše stranice, iskorištavaju mnoštvo programa ili prijeteći da se probiju u područja visoke sigurnosti gdje su ne bi trebao pripadati. Ali ako... Čitaj više , ali krivicu snosi samo odbijanje Facebooka da popravi ranjivost iznesen na svijet prije više od godinu dana.

Prijavite se na Facebook

U međuvremenu, budite budni. Ne klikajte nepouzdane veze sa stranica koje izgledaju neželjeno, niti prihvaćajte zahtjeve prijatelja od ljudi koje ne poznajete. Facebook je objavio i izjavu u kojoj stoji:

"Ovo je dobro razumljivo ponašanje. Programeri web lokacije koji se koriste putem prijave mogu spriječiti ovaj problem slijedeći naše najbolje prakse i koristeći parametar 'država' koji pružamo za OAuth prijavu. "

Poticanje.

Slučaj 1a: Tko me je odbranio?

Ostali korisnici Facebooka postaju plijen za još jednu "uslugu" i traže krađu vjerodajnice OAuth prijave treće strane. Prijava za OAuth dizajnirana je tako da zaustavi korisnike da unose svoju lozinku u bilo koju aplikaciju ili uslugu treće strane, održavajući zid sigurnosti.

Unfriend Obavijesti

Usluge kao što su UnfriendAlert pleni na pojedince koji pokušavaju otkriti tko je odustao od internetskog prijateljstva, tražeći od pojedinaca da upišu vjerodajnice za prijavu - a zatim ih pošalju izravno na zlonamjernu web lokaciju yougotunfriended.com. UnfriendAlert je klasificiran kao potencijalno neželjeni program (PUP), koji namjerno instalira adware i malware.

Nažalost, Facebook ne može u potpunosti zaustaviti ovakve usluge, pa je korisnik na usluzi ostao budan a ne pada na stvari za koje se čini da su dobre istine.

Slučaj 2: programski program Google Apps

Naša druga ranjivost proizlazi iz greške u upravljanju registracijama imena domena pomoću Google Appsa. Ako ste ikada registrirali web mjesto, znat ćete da su ime, adresa, adresa e-pošte i ostale važne privatne informacije od ključne važnosti za postupak. Nakon prijave može svatko s dovoljno vremena pokrenuti a Tko je pronaći ove javne informacije, osim ako tijekom registracije ne podnesete zahtjev za očuvanje privatnosti svojih osobnih podataka. Ova se značajka obično košta, a potpuno je neobavezna.

Prijavite se putem Googlea

Oni koji registriraju web-lokacije putem eNom-a i zahtijevanje privatnog Tko je otkrio da su njihovi podaci polako procurili tijekom razdoblja od 18 mjeseci. Kvar softvera, otkriven 19. veljačeth i uključen pet dana kasnije, puštali su privatne podatke svaki put kada se registracija obnavlja, potencijalno izlažući privatne osobe bilo kojem broju pitanja zaštite podataka.

Whois Search

Pristup izdanju 282.000 skupnih zapisa nije lagan. Nećete naletjeti na njega na webu. No, sada je to neizbrisiv nedostatak Google-ove evidencije i jednako je neizbrisiv od velikog broja Interneta. A ako čak 5%, 10% ili 15% pojedinaca započne primati visoko ciljane, zlonamjerne kopije e-pošte za podmetanje koplja, ovo izdaje balone u veliku podatkovnu glavobolju i za Google i za eNom.

Slučaj 3: Prevario me

Ovo je višestruka ranjivost mreže Svaka ranjivost utječe na svaku verziju sustava Windows - što u vezi s tim možete učiniti.Što biste rekli kad bismo vam rekli da na vašu verziju sustava Windows utječe ranjivost koja datira iz 1997. godine? Nažalost, to je istina. Microsoft ga jednostavno nikada nije zakrpao. Tvoj red! Čitaj više dopuštajući hakeru da ponovo iskoristi sustave za prijavu trećih strana koje koriste tako popularne web stranice. Haker postavlja zahtjev s identificiranom ranjivom uslugom pomoću e-adrese žrtve, one koja je od ranije poznata ranjivoj službi. Haker može zatim prevariti pojedinosti korisnika lažnim računom, dobivajući pristup društvenom računu zajedno s potvrđenom potvrdom e-pošte.

Neto sigurnost

Da bi ovaj hack uspio, web-lokacija treće strane mora podržavati najmanje jednu drugu prijavu na društvenoj mreži pomoću drugog davatelja identiteta ili mogućnost korištenja vjerodajnica lokalnih osobnih web lokacija. Sličan je Facebookovom hacku, ali viđen je na širem rasponu web stranica, uključujući Amazon, LinkedIn i MYDIGIPASS, među ostalim, i potencijalno bi se mogli koristiti za prijavu u osjetljive usluge zlonamjerna namjera.

To nije mana, to je značajka

Neke web lokacije uključene u ovaj način napada zapravo nisu dopustile da kritična ranjivost leti ispod radara: ugrađeni izravno u sustav Čini li vas zadana konfiguracija rutera ranjivom na hakere i prevare?Usmjerivači rijetko dolaze u sigurnom stanju, ali čak i ako ste uzeli vremena da ispravno konfigurirate bežični (ili ožičeni) usmjerivač, i dalje se može pokazati kao slaba veza. Čitaj više . Jedan primjer je Twitter. Vanilla Twitter je dobro, ako imate jedan račun. Nakon što upravljate s više računa, za različite djelatnosti, pristupate različitim publikama, potrebna vam je aplikacija poput Hootsuite-a ili TweetDecka 6 slobodnih načina za zakazivanje tweetaKorištenje Twittera zaista je ovdje i sada. Pronaći ćete zanimljiv članak, cool sliku, sjajan video ili možda samo želite podijeliti nešto što ste upravo shvatili ili pomislili. Ili... Čitaj više .

Struktura

Te aplikacije komuniciraju s Twitterom primjenom vrlo sličnog postupka prijave jer i njima treba izravan pristup vašoj društvenoj mreži, a korisnici se traže da daju jednaka dopuštenja. Stvara težak scenarij za mnoge davatelje društvenih mreža, jer aplikacije trećih proizvođača donose toliko u društvenu sferu, ali jasno stvaraju neugodnosti za sigurnost i za korisnika i za davatelja usluga.

Okupite se

Identificirali smo tri i pomalo ranjivosti na društvenim prijavama koje biste sada trebali moći prepoznati i nadamo se da ih izbjegavate. Hakeri na društvenim prijavama neće se osušiti preko noći. potencijalna isplata hakera 4 najbolje hakerske grupe i što želeLako je zamisliti hakerske grupe kao neku vrstu romantičnih revolucionara iz zaostalih soba. Ali tko su oni zapravo? Za što se zalažu i kakve napade su izveli u prošlosti? Čitaj više je prevelika i kada tvrtke za masovnu tehnologiju poput Facebooka odbijaju djelovati u najboljem interesu njihovih korisnika u osnovi otvara vrata i pušta ih da obrišu noge o privatnosti podataka otirač.

Je li vaš socijalni račun ugrozio treću stranu? Što se dogodilo? Kako ste se oporavili?

Kreditna slika:binarni kod Via Shutterstock, Struktura putem Pixabaya

Gavin je stariji pisac za MUO. Također je urednik i SEO Manager za sestrino kripto fokusirano sedište MakeUseOf, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s digitalnim umjetničkim praksama koje su pljačkale s Devonskih brda, kao i više od desetljeća profesionalnog iskustva u pisanju. Uživa u velikim količinama čaja.