Strona główna Bezpieczeństwo W jaki sposób logowanie na Facebooku i Google może prowadzić do kradzieży danych

W jaki sposób logowanie na Facebooku i Google może prowadzić do kradzieży danych

  • William Charles
  • 0
  • 3926
  • 447
Reklama

Zaloguj się przez facebook. Zaloguj się za pomocą Google. Strony internetowe regularnie wykorzystują nasze pragnienie łatwego logowania, aby mieć pewność, że odwiedzimy naszą witrynę, i aby zabrały kawałek danych osobowych. Ale jakim kosztem? Pewien badacz bezpieczeństwa odkrył ostatnio lukę w zabezpieczeniach Zaloguj się przez facebook funkcja znaleziona w wielu tysiącach witryn. Podobnie błąd w interfejsie nazw domen Google App ujawnił publicznie setki tysięcy osób prywatnych danych.

Są to poważne problemy, z którymi zmagają się dwie największe domowe marki technologiczne. Chociaż problemy te zostaną potraktowane z odpowiednim niepokojem, a luki zostaną załatane, czy społeczeństwo ma wystarczającą świadomość? Spójrzmy na każdy przypadek i jego znaczenie dla bezpieczeństwa w sieci.

Przypadek 1: Zaloguj się za pomocą Facebooka

Luka Login with Facebook ujawnia Twoje konta - ale nie rzeczywiste hasło do Facebooka - oraz zainstalowane przez Ciebie aplikacje innych firm, takie jak Bit.ly, Mashable, Vimeo, About.me, i wiele innych.

Krytyczna wada odkryta przez Egora Homakova, badacza bezpieczeństwa dla Sakurity, pozwala hakerom na nadużywanie niedopatrzenia w kodzie Facebooka. Wada wynika z braku odpowiedniego Fałszowanie żądań w różnych witrynach (CSFR) ochrona dla trzech różnych procesów: Logowanie do Facebooka, wylogowanie z Facebooka i połączenie z kontem strony trzeciej. Luka ta zasadniczo umożliwia niechcianej stronie wykonywanie działań w ramach uwierzytelnionego konta. Możesz zobaczyć, dlaczego byłby to istotny problem.

Jednak Facebook jak dotąd postanowił zrobić niewiele, aby rozwiązać ten problem, ponieważ zagroziłoby to ich własnej kompatybilności z ogromną liczbą stron. Trzeci problem może rozwiązać każdy zainteresowany właściciel strony, ale dwa pierwsze leżą wyłącznie przy drzwiach Facebooka.

Aby jeszcze bardziej zilustrować brak działań ze strony Facebooka, Homakov posunął ten problem dalej, wydając narzędzie hakerskie o nazwie RECONNECT. Wykorzystuje to błąd, umożliwiając hakerom tworzenie i wstawianie niestandardowych adresów URL używanych do przejęcia kont w witrynach stron trzecich. Homakova można nazwać nieodpowiedzialnym za wydanie narzędzia. Jaka jest różnica między dobrym hakerem a złym hackerem? [Opinia] Jaka jest różnica między dobrym hakerem a złym hackerem? [Opinia] Co jakiś czas słyszymy coś w wiadomościach na temat hakerów, którzy usuwają strony, wykorzystują wiele programów lub grożą przedostaniem się do obszarów o wysokim poziomie bezpieczeństwa, do których nie powinni należeć. Ale jeśli…, ale wina leży po prostu w tym, że Facebook nie chce załatać tej luki ujawnione ponad rok temu.

W międzyczasie zachowaj czujność. Nie klikaj niezaufanych linków ze stron przypominających spam, ani nie przyjmuj zaproszeń od znajomych, których nie znasz. Facebook wydał również oświadczenie:

“To jest dobrze zrozumiane zachowanie. Programiści witryn korzystający z funkcji logowania mogą zapobiec temu problemowi, postępując zgodnie z naszymi najlepszymi praktykami i używając parametru „stan” podanego dla logowania OAuth.”

Zachęcający.

Przypadek 1a: Kto mnie nie zaprzyjaźnił?

Inni użytkownicy Facebooka padają ofiarą innego “usługa” żerują na kradzieży danych logowania OAuth stron trzecich. Logowanie OAuth ma na celu uniemożliwienie użytkownikom wprowadzania hasła do dowolnej aplikacji lub usługi strony trzeciej, utrzymując ścianę bezpieczeństwa.

Usługi takie jak Nieprzyjazny żerują na osobach próbujących dowiedzieć się, kto zrezygnował z przyjaźni online, prosząc je o podanie danych logowania, a następnie wysyłają bezpośrednio na złośliwą stronę yougotunfriended.com. UnfriendAlert jest klasyfikowany jako potencjalnie niechciany program (PUP), celowo instalujący adware i malware.

Niestety Facebook nie może całkowicie zatrzymać takich usług, więc na użytkownikach spoczywa ciężar zachowania czujności i nie zakochajcie się w rzeczach, które wydają się być prawdą.

Przypadek 2: błąd Google Apps

Nasza druga luka wynika z błędu w obsłudze Google Apps w zakresie rejestracji nazw domen. Jeśli kiedykolwiek zarejestrowałeś stronę internetową, będziesz wiedział, że podanie imienia i nazwiska, adresu, adresu e-mail i innych ważnych informacji prywatnych jest niezbędne w tym procesie. Po rejestracji każdy, kto ma wystarczająco dużo czasu, może uruchomić Kto jest aby znaleźć te informacje publiczne, chyba że podczas rejestracji poprosisz o zachowanie poufności swoich danych osobowych. Ta funkcja zazwyczaj kosztuje i jest całkowicie opcjonalna.

Te osoby rejestrujące strony za pośrednictwem eNom i z prośbą do prywatnego Whois stwierdzono, że ich dane powoli wyciekły przez okres około 18 miesięcy. Wada oprogramowania odkryta 19 lutegoth i podłączono pięć dni później, wyciekły prywatne dane przy każdym odnowieniu rejestracji, potencjalnie narażając osoby prywatne na dowolną liczbę problemów związanych z ochroną danych.

Dostęp do 282 000 zbiorczych wydań nie jest łatwy. Nie natkniesz się na to w Internecie. Ale teraz jest to nieusuwalna skaza na dotychczasowych osiągnięciach Google i jest równie nieusuwalna z powodu ogromnej ilości Internetu. A jeśli nawet 5%, 10% lub 15% osób zacznie otrzymywać wysoce ukierunkowane, złośliwe wiadomości phishingowe typu spear, powoduje to poważny ból głowy zarówno dla Google, jak i eNom.

Przypadek 3: Spoofed Me

Jest to luka w zabezpieczeniach wielu sieci. Każda z wersji systemu Windows jest dotknięta tą luką w zabezpieczeniach - co można z tym zrobić. Luka dotyczy każdej wersji systemu Windows - co można z tym zrobić. Co byś powiedział, gdybyśmy ci powiedzieli, że twoja wersja systemu Windows jest dotknięta luką z 1997 roku? Niestety to prawda. Microsoft po prostu nigdy tego nie załatał. Twoja kolej! umożliwiając hakerowi ponowne wykorzystanie zewnętrznych systemów logowania wykorzystywanych przez tak wiele popularnych witryn. Haker przesyła żądanie do zidentyfikowanej podatnej usługi przy użyciu adresu e-mail ofiary, który był wcześniej znany tej podatnej usłudze. Haker może następnie sfałszować dane użytkownika za pomocą fałszywego konta, uzyskując dostęp do konta społecznościowego wraz z potwierdzoną weryfikacją adresu e-mail.

Aby ten hack zadziałał, witryna innej firmy musi obsługiwać co najmniej jedno inne logowanie do sieci społecznościowej przy użyciu innego dostawcy tożsamości lub możliwość korzystania z lokalnych poświadczeń osobistej witryny internetowej. Jest podobny do hakowania na Facebooku, ale był widziany na wielu różnych stronach internetowych, w tym między innymi Amazon, LinkedIn i MYDIGIPASS, i może być potencjalnie wykorzystywany do logowania się do wrażliwych usług w złośliwych intencjach.

To nie jest wada, to funkcja

Niektóre strony zaangażowane w ten tryb ataku w rzeczywistości nie pozwalają krytycznej luce latać pod radarem: są wbudowane bezpośrednio w system. Czy Twoja domyślna konfiguracja routera sprawia, że ​​jesteś podatny na ataki hakerów i oszustów? Czy Twoja domyślna konfiguracja routera sprawia, że ​​jesteś podatny na ataki hakerów i oszustów? Routery rzadko przybywają w bezpiecznym stanie, ale nawet jeśli poświęciłeś dużo czasu na prawidłowe skonfigurowanie routera bezprzewodowego (lub przewodowego), nadal może okazać się słabym łączem. . Jednym z przykładów jest Twitter. Vanilla Twitter jest dobry, jeśli masz jedno konto. Gdy zarządzasz wieloma kontami dla różnych branż i zbliżasz się do szerokiego grona odbiorców, potrzebujesz aplikacji takiej jak Hootsuite lub TweetDeck 6 darmowych sposobów na zaplanowanie tweetów 6 darmowych sposobów na zaplanowanie tweetów Korzystanie z Twittera naprawdę dotyczy tu i teraz. Znajdziesz ciekawy artykuł, fajne zdjęcie, niesamowity film, a może po prostu chcesz podzielić się czymś, co właśnie zrealizowałeś lub pomyślałeś. Zarówno… .

Te aplikacje komunikują się z Twitterem przy użyciu bardzo podobnej procedury logowania, ponieważ one również potrzebują bezpośredniego dostępu do sieci społecznościowej, a użytkownicy proszeni są o podanie tych samych uprawnień. Stwarza to trudny scenariusz dla wielu dostawców sieci społecznościowych, ponieważ aplikacje innych podmiotów wnoszą tak wiele do sfery społecznościowej, a jednocześnie wyraźnie powodują niedogodności bezpieczeństwa zarówno dla użytkownika, jak i dostawcy.

Łapanka

Zidentyfikowaliśmy trzy i nieco luki w zabezpieczeniach związane z logowaniem społecznościowym, które powinieneś teraz być w stanie zidentyfikować i, miejmy nadzieję, uniknąć. Hacki do logowania społecznościowego nie wyschną z dnia na dzień. Potencjalna wypłata dla hakerów 4 najlepsze grupy hakerów i czego chcą 4 najlepsze grupy hakerów i czego chcą Łatwo jest myśleć o grupach hakerów jako o romantycznych rewolucjonistach na zapleczu. Ale kim oni naprawdę są? Co oni reprezentują i jakie ataki przeprowadzili w przeszłości? jest zbyt wielki, a kiedy masowe firmy technologiczne, takie jak Facebook, odmawiają działania w najlepszym interesie swoich użytkowników, to po prostu otwiera drzwi i pozwala im ocierać się o wycieraczkę prywatności danych.

Czy Twoje konto społecznościowe zostało przejęte przez firmę zewnętrzną? Co się stało? Jak wyzdrowiałeś??

Kredyt obrazu: kod binarny za pośrednictwem Shutterstock, struktura przez Pixabay




Jeszcze bez komentarzy

Shutterstock Labs Jak znaleźć idealne obrazy i filmy
Twórczy
Uzyskaj doskonałe zdjęcia krajobrazu za pomocą funkcji mieszania ekspozycji
Twórczy
5 porad Flash dla początkujących
Twórczy
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.