Annons
Logga in med Facebook. Logga in med Google. Webbplatser utnyttjar regelbundet vår önskan att logga in med lätthet för att säkerställa att vi besöker och för att säkerställa att de tar en bit av den personliga datainten. Men till vilken kostnad? En säkerhetsforskare upptäckte nyligen en sårbarhet i Logga in med Facebook finns på många tusentals webbplatser. På liknande sätt exponerade ett fel i gränssnittet för Google App-domännamn hundratusentals individer privata data för allmänheten.
Det här är allvarliga problem som står inför två av de största hushållstekniska namnen. Även om dessa frågor kommer att behandlas med lämplig oro och att sårbarheterna korrigeras, ges tillräckligt medvetenhet till allmänheten? Låt oss titta på varje fall och vad det betyder för din webbsäkerhet.
Fall 1: Logga in med Facebook
Sårbarheten Logga in med Facebook visar dina konton - men inte ditt faktiska Facebook-lösenord - och de tredjepartsapplikationer du har installerat, t.ex. Bit.ly, Mashable, Vimeo, About.me, och värd av andra.
Den kritiska bristen, upptäckt av Egor Homakov, säkerhetsforskare för Sakurity, gör det möjligt för hackare att missbruka en tillsyn i Facebook-koden. Bristen beror på bristen på lämpliga Cross-Site Request Forgery (CSFR) -skydd för tre olika processer: Facebook-inloggning, Facebook-utloggning och tredje parts kontoanslutning. Sårbarheten tillåter i princip en oönskad part att utföra åtgärder inom ett autentiserat konto. Du kan se varför detta skulle vara en viktig fråga.
Ändå har Facebook än så länge valt att göra mycket lite för att ta itu med frågan eftersom det skulle äventyra deras egna kompatibilitet med ett stort antal webbplatser. Den tredje frågan kan åtgärdas av alla berörda webbplatsägare, men de två första ligger exklusivt vid Facebook-dörren.
För att ytterligare illustrera bristen på handling från Facebook har Homakov drivit problemet ytterligare genom att släppa ett hackareverktyg som heter RECONNECT. Detta utnyttjar felet och låter hackare skapa och infoga anpassade webbadresser som används för att kapa konton på tredje parts webbplatser. Homakov kunde kallas ansvarslös för att släppa verktyget Vad är skillnaden mellan en bra hacker och en dålig hacker? [Åsikt]Då och då hör vi något i nyheterna om hackare som tar bort webbplatser, utnyttjar a mångfald av program, eller hotar att vika sig in i områden med hög säkerhet där de borde inte tillhöra. Men om... Läs mer , men skulden ligger i hög grad med Facebooks vägran att korrigera sårbarheten väckte ljus för över ett år sedan.
Under tiden, förbli vaksam. Klicka inte på betrodda länkar från sidor med skräppost eller acceptera vänförfrågningar från personer som du inte känner. Facebook har också släppt ett uttalande som säger:
”Detta är ett välförstått beteende. Webbplatsutvecklare som använder inloggning kan förhindra detta problem genom att följa våra bästa metoder och använda parametern "tillstånd" som vi tillhandahåller för OAuth-inloggning. "
Uppmuntrande.
Fall 1a: Vem har inte vänat mig?
Andra Facebook-användare tappar byte för en annan "tjänst" som byter ut OAuth-inloggningsstöld från tredje part. OAuth-inloggningen är utformad för att hindra användare att ange sitt lösenord till alla tredjepartsapplikationer eller -tjänster för att upprätthålla säkerhetsmuren.
Tjänster som UnfriendAlert byta på individer som försöker upptäcka vem som har avstått från sin vänskap online och ber individer att ange sina inloggningsuppgifter - för att sedan skicka dem direkt till skadlig webbplats yougotunfriended.com. Un FriendAlert klassificeras som ett potentiellt oönskat program (PUP) som avsiktligt installerar adware och skadlig programvara.
Tyvärr kan Facebook inte helt stoppa tjänster som detta, så användaren är på tjänsten användare att förbli vaksamma och faller inte för saker som verkar vara sanna.
Fall 2: Google Apps Bug
Vår andra sårbarhet härrör från en brist i Google Apps hantering av domännamnsregistreringar. Om du någonsin har registrerat en webbplats vet du att ditt namn, adress, e-postadress och annan viktig privat information är viktigt för processen. Efter registrering kan alla med tillräckligt med tid kör a Vem är för att hitta denna offentliga information, om du inte gör en begäran under registreringen för att hålla dina personuppgifter privata. Denna funktion kommer vanligtvis till en kostnad och är helt valfri.
De individer som registrerar webbplatser via eNom och som begärde en privat Whois fann att deras data sakta hade läckt ut under en 18-månadersperiod. Mjukvarufel, upptäckt 19 februarith och anslutit fem dagar senare, läckte privata uppgifter varje gång en registrering förnyades, vilket potentiellt utsatt privatpersoner för ett antal dataskyddsfrågor.
Det är inte lätt att få åtkomst till 282 000 bulkplansreleaser. Du kommer inte att snubbla över det på webben. Men det är nu en outplånlig skada på Googles meritlista och är lika outplånlig från de stora Internetområdena. Och om till och med 5%, 10% eller 15% av individerna börjar få mycket målinriktade, onda e-postmeddelanden med spjutfiskning, detta ger ballonger till en stor datahuvudvärk för både Google och eNom.
Fall 3: Bedrägeri mig
Det här är en flera nätverkssårbarhet Varje Windows-version påverkas av denna sårbarhet - vad du kan göra åt det.Vad skulle du säga om vi berättade att din version av Windows påverkas av en sårbarhet som går tillbaka till 1997? Tyvärr är detta sant. Microsoft lappade helt enkelt aldrig det. Din tur! Läs mer vilket tillåter en hackare att utnyttja tredje parts inloggningssystem som utnyttjas av så många populära webbplatser. Hackaren lägger fram en begäran med en identifierad sårbar tjänst med hjälp av offrets e-postadress, en som tidigare är känd för den sårbara tjänsten. Hackaren kan sedan förfalska användarens detaljer med det falska kontot och få åtkomst till det sociala kontot komplett med bekräftad e-postverifiering.
För att detta hack ska fungera måste tredjepartssidan stödja minst en annan inloggning på socialt nätverk med hjälp av en annan identitetsleverantör, eller möjligheten att använda lokala personliga webbplatser. Det liknar Facebook-hacket, men har sett på ett brett utbud av webbplatser, inklusive Amazon, LinkedIn och MYDIGIPASS bland andra och kan potentiellt användas för att logga in på känsliga tjänster med skadlig avsikt.
Det är inte ett fel, det är en funktion
Några av de webbplatser som är inblandade i detta angreppssätt låter faktiskt inte en kritisk sårbarhet flyga under radaren: de är det inbyggt direkt i systemet Gör din standardruterkonfiguration dig sårbar för hackare och scammare?Routrar anländer sällan i ett säkert tillstånd, men även om du har tagit dig tid att konfigurera din trådlösa (eller trådbundna) router korrekt kan det fortfarande visa sig vara den svaga länken. Läs mer . Ett exempel är Twitter. Vanilla Twitter är Bra, om du har ett konto. När du har hanterat flera konton för olika branscher och närmar dig en mängd målgrupper behöver du en applikation som Hootsuite eller TweetDeck 6 gratis sätt att schemalägga tweetsAtt använda Twitter handlar verkligen om här och nu. Du hittar en intressant artikel, en cool bild, en fantastisk video, eller kanske du bara vill dela något du just har insett eller tänkt på. Antingen... Läs mer .
Dessa applikationer kommunicerar med Twitter med hjälp av en mycket liknande inloggningsprocedur eftersom de också behöver direkt tillgång till ditt sociala nätverk, och användarna uppmanas att ge samma behörigheter. Det skapar ett svårt scenario för många leverantörer av sociala nätverk eftersom appar från tredje part ger så mycket till den sociala sfären, men ändå tydligt skapar säkerhetsproblem för både användare och leverantör.
Runda upp
Vi har identifierat tre och lite sociala inloggningssårbarheter som du nu skulle kunna identifiera och förhoppningsvis undvika. Sociala inloggningshackar kommer inte att torka över en natt. De potentiell vinst för hackare 4 bästa hackergrupper och vad de vill haDet är lätt att tänka på hackergrupper som en slags romantiska back-room revolutionärer. Men vem är de egentligen? Vad står de för och vilka attacker har de genomfört tidigare? Läs mer är för stor, och när massiva teknikföretag som Facebook vägrar att agera i bästa intresse av deras användare är det i grund och botten att öppna dörren och låta dem torka sina fötter på datasekretess dörrmatta.
Har ditt sociala konto äventyrats av tredje part? Vad hände? Hur kom du igen?
Bildkredit:binär kod Via Shutterstock, Struktur via Pixabay
Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.