реклама

Влезте с Facebook. Влезте с Google. Уебсайтовете редовно използват нашето желание да влизаме с лекота, за да гарантираме, че посещаваме, и да гарантираме, че те грабват парче от пая с лични данни. Но на каква цена? Наскоро изследовател по сигурността откри уязвимост в Влезте с Facebook функция, открита в много хиляди сайтове. По същия начин, грешка в интерфейса за имена на домейни на Google App изложи на обществото частни данни на стотици хиляди хора.

Това са сериозни проблеми, пред които са изправени две от най-големите битови технологични имена. Докато тези проблеми ще бъдат третирани с подходящо безпокойство и уязвимостите, запълнена ли е достатъчно обществена информация? Нека разгледаме всеки случай и какво означава това за вашата уеб сигурност.

Случай 1: Влезте с Facebook

Уязвимостта Вход с Facebook излага вашите акаунти - но не и действителната ви парола във Facebook - и приложенията на трети страни, които сте инсталирали, като напр. Bit.ly, Mashable, Vimeo, About.meи множество други.

instagram viewer

Критичният недостатък, открит от Егор Хомаков, изследовател по сигурността на Sakurine, позволява на хакерите да злоупотребяват с надзора във Facebook кода. Недостатъкът произтича от липсата на подходящи Изпращане на искания за различни сайтове (CSFR) защита за три различни процеса: Facebook Вход, Facebook Изход и Свързване на акаунт на трети страни. Уязвимостта по същество позволява на нежелана страна да извършва действия в рамките на автентифициран акаунт. Можете да видите защо това би било важен проблем.

muo със сигурността SMB-парола кражба

И все пак Facebook все още не са избрали да направят много малко за справяне с проблема, тъй като това би компрометирало тяхната собствена съвместимост с огромен брой сайтове. Третият проблем може да бъде отстранен от всеки засегнат собственик на уебсайт, но първите двама лежат изключително на вратата на Facebook.

За допълнително илюстриране на липсата на действия, предприети от Facebook, Хомаков продължи проблема с пускането на хакерски инструмент, наречен RECONNECT. Това използва грешката, позволява на хакерите да създават и вмъкват персонализирани URL адреси, използвани за отвличане на акаунти в сайтове на трети страни. Хомаков може да се нарече безотговорно за освобождаване на инструмента Каква е разликата между добрия хакер и лошия хакер? [Становище]От време на време чуваме нещо в новините за хакери да свалят сайтове, експлоатират a множество програми или заплашват да се измъкнат в зоните с висока сигурност, където те не трябва да принадлежа Но ако... Прочетете още , но вината е пряко в отказа на Facebook да закърпи уязвимостта изваден на бял свят преди повече от година.

Влезте във Facebook

Междувременно останете бдителни. Не кликвайте ненадеждни връзки от страници, изглеждащи спам, или приемайте заявки за приятели от хора, които не познавате. Facebook също пуснаха изявление, в което се казва:

„Това е добре разбрано поведение. Разработчиците на сайтове, които използват Login, могат да предотвратят този проблем, като следват нашите най-добри практики и използват параметъра „state“, който предоставяме за OAuth Вход. “

Насърчаване.

Случай 1а: Кой ме унищожи?

Други потребители на Facebook стават плячка за друга „услуга“, която се опитва да извърши кражба на идентификационни данни за вход на OAuth на трети страни. Входът в OAuth е предназначен да спре потребителите да въвеждат паролата си към всяко приложение или услуга на трети страни, като поддържа стената на сигурност.

Unfriend Известяване

Услуги като UnfriendAlert плячка за хора, които се опитват да открият кой се е отказал от онлайн приятелството си, молят хората да въведат своите идентификационни данни за вход - след това ги изпращат направо до злонамерен сайт yougotunfriended.com. UnfriendAlert е класифициран като потенциално нежелана програма (PUP), умишлено инсталираща рекламен софтуер и зловреден софтуер.

За съжаление, Facebook не може изцяло да спре подобни услуги, така че натискът е върху потребителите на услугите да останат бдителни и да не си падаме за неща, които изглеждат добри, че са истина.

Случай 2: Грешка в Google Apps

Втората ни уязвимост произтича от недостатък в работата с Google Apps за регистрация на имена на домейни. Ако някога сте регистрирали уебсайт, ще знаете предоставянето на вашето име, адрес, имейл адрес и друга важна частна информация е от съществено значение за процеса. След регистрацията всеки, който разполага с достатъчно време, може пусни a Кой е за да намерите тази обществена информация, освен ако не направите заявка по време на регистрация за запазване на личните ви данни. Тази функция обикновено идва на цена и е изцяло незадължителна.

Влезте с Google

Тези лица, които регистрират сайтове чрез eNom и искане на частен Whois намери, че данните им бавно са изтекли за период от 18 месеца или около. Софтуерният дефект, открит на 19 февруаритата и включени пет дни по-късно, течаха лични данни при всяко подновяване на регистрация, потенциално излагайки частни лица на всякакъв брой проблеми със защитата на данните.

Whois Search

Достъпът до 282 000 масово издание на записи не е лесен. Няма да се натъкнете на него в мрежата. Но това вече е неизтриваем недостатък в рекордите на Google и е също толкова незаличимо от огромната част от интернет. И ако дори 5%, 10% или 15% от хората започнат да получават силно насочени, злонамерени имейли с фишинг копия, това издава балони в главно главоболие за данни както за Google, така и за eNom.

Случай 3: Измами ме

Това е множествена уязвимост на мрежата Всяка версия на Windows е засегната от тази уязвимост - какво можете да направите за нея.Какво бихте казали, ако ви казахме, че вашата версия на Windows е засегната от уязвимост, която датира от 1997 г.? За съжаление това е вярно. Microsoft просто никога не го кръпка. Твой ред! Прочетете още което позволява на хакер отново да използва системите за влизане на трети страни, използвани от толкова много популярни сайтове. Хакерът отправя заявка с идентифицирана уязвима услуга, използвайки имейл адреса на жертвата, който е известен по-рано на уязвимата услуга. След това хакерът може да излъже данните на потребителя с фалшивия акаунт, като получи достъп до социалния акаунт заедно с потвърдено имейл потвърждение.

Нетна сигурност

За да работи този хак, сайтът на трета страна трябва да поддържа поне още един вход в социалната мрежа с помощта на друг доставчик на самоличност или възможността да използва местни лични идентификационни данни на уебсайта. Подобно е на хакването във Facebook, но е забелязано в по-широк кръг уебсайтове, включително Amazon, LinkedIn и MYDIGIPASS наред с други, и потенциално могат да бъдат използвани за влизане в чувствителни услуги с злонамерено намерение.

Това не е грешка, това е функция

Някои от сайтовете, замесени в този начин на атака, всъщност не са позволили критична уязвимост да лети под радара: те са вграден директно в системата Вашата конфигурация на рутер по подразбиране прави ли ви уязвима за хакери и измамници?Рутерите рядко пристигат в сигурно състояние, но дори и да сте отделили време да конфигурирате правилно вашия безжичен (или окабелен) рутер, той все още може да се окаже слабата връзка. Прочетете още . Един пример е Twitter. Ваниловият Twitter е добре, ако имате един акаунт. След като управлявате множество акаунти, за различни отрасли и се приближавате до широка аудитория, се нуждаете от приложение като Hootsuite или TweetDeck 6 безплатни начина за планиране на туитовеИзползването на Twitter наистина е за тук и сега. Намирате интересна статия, готина снимка, страхотно видео или може би просто искате да споделите нещо, което току-що сте осъзнали или помислили. Или ... Прочетете още .

структура

Тези приложения комуникират с Twitter чрез много подобна процедура за влизане, тъй като те също се нуждаят от директен достъп до вашата социална мрежа, а потребителите се приканват да предоставят същите разрешения. Той създава труден сценарий за много доставчици на социални мрежи, тъй като приложенията на трети страни донасят толкова много в социалната сфера, но ясно създават неудобства за сигурността както за потребителя, така и за доставчика.

Закръглям

Определихме три и малко битови уязвимости в социалните мрежи, които сега трябва да можете да идентифицирате и да се надяваме да избегнете. Хакерите за социално влизане няма да изсъхнат за една нощ. Най- потенциално изплащане за хакери 4 топ хакерски групи и какво искатЛесно е да се мисли за хакерски групи като за някакъв вид романтични революционери в задната стая. Но кои са те всъщност? Какво представляват те и какви атаки са провеждали в миналото? Прочетете още е прекалено голям и когато компаниите за масови технологии като Facebook отказват да действат в най-добрия интерес на потребителите им, основно отваря вратата и им позволява да изтрият краката си по поверителността на данните изтривалка.

Бил ли е компрометиран социалният ви акаунт от трета страна? Какво стана? Как се възстановихте?

Кредит за изображение:двоичен код Via Shutterstock, Структура чрез Pixabay

Гавин е старши писател за MUO. Той е също редактор и SEO мениджър за крипто фокусирания сайт на сестрата на MakeUseOf, Blocks Decoded. Има BA (Hons) Contemporary Writing with Digital Art Practices, грабени от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се наслаждава на обилни количества чай.