Πώς οι συνδέσεις ιστοτόπων Facebook και Google μπορούν να οδηγήσουν στην κλοπή δεδομένων

Σύνδεση με το Facebook. Σύνδεση με την Google. Οι ιστότοποι εκμεταλλεύονται την επιθυμία μας να συνδεθούμε με ευκολία, αλλά με ποιο κόστος; Τα ευπάθειες με δημοφιλή συστήματα σύνδεσης ιστοτόπων από την Google και το Facebook έχουν προκαλέσει ανησυχίες για την ασφάλεια.

Σύνδεση με το Facebook.  Σύνδεση με την Google.  Οι ιστότοποι εκμεταλλεύονται την επιθυμία μας να συνδεθούμε με ευκολία, αλλά με ποιο κόστος;  Τα ευπάθειες με δημοφιλή συστήματα σύνδεσης ιστοτόπων από την Google και το Facebook έχουν προκαλέσει ανησυχίες για την ασφάλεια.
Διαφήμιση

Σύνδεση με το Facebook. Σύνδεση με την Google. Οι ιστότοποι εκμεταλλεύονται τακτικά την επιθυμία μας να συνδεθούμε με ευκολία για να εξασφαλίσουμε την επίσκεψή μας και να εξασφαλίσουμε ότι θα πάρουν μια φέτα από την προσωπική πινακίδα. Αλλά με ποιο κόστος; Ένας ερευνητής ασφαλείας ανακάλυψε πρόσφατα μια ευπάθεια στο χαρακτηριστικό Login with Facebook που βρίσκεται σε πολλές χιλιάδες τοποθεσίες. Ομοίως, ένα σφάλμα στη διεπαφή ονόματος τομέα εφαρμογής Google App εξέθεσε εκατοντάδες χιλιάδες ιδιωτικά ιδιωτικά δεδομένα στο κοινό.

Πρόκειται για σοβαρά ζητήματα που αντιμετωπίζουν δύο από τα μεγαλύτερα νοικοκυριά τεχνολογίας των νοικοκυριών. Ενώ αυτά τα ζητήματα θα αντιμετωπιστούν με την κατάλληλη ανησυχία και τα τρωτά σημεία θα διορθωθούν, θα υπάρχει αρκετή ενημέρωση για το κοινό; Ας δούμε κάθε περίπτωση και τι σημαίνει για την ασφάλεια του ιστού σας.

Περίπτωση 1: Σύνδεση με το Facebook

Η ευπάθεια Σύνδεση με το Facebook εκθέτει τους λογαριασμούς σας - αλλά όχι τον πραγματικό κωδικό πρόσβασής σας στο Facebook - και τις εφαρμογές τρίτων που έχετε εγκαταστήσει, όπως Bit.ly, Mashable, Vimeo, About.me και φιλοξενία άλλων.

Το κρίσιμο ελάττωμα, που ανακαλύφθηκε από τον Egor Homakov, ερευνητή ασφάλειας για το Sakurity, επιτρέπει στους χάκερ να καταχραστούν την επίβλεψη στον κώδικα Facebook. Το ελάττωμα προέρχεται από την έλλειψη κατάλληλης προστασίας για την παραβίαση αιτήματος μεταξύ διαφόρων ιστοτόπων (CSFR) για τρεις διαφορετικές διαδικασίες: Σύνδεση στο Facebook, Αποσύνδεση από το Facebook και Σύνδεση λογαριασμού τρίτου μέρους. Η ευπάθεια επιτρέπει ουσιαστικά σε ένα ανεπιθύμητο μέρος την εκτέλεση ενεργειών εντός ενός λογαριασμού που έχει πιστοποιηθεί. Μπορείτε να δείτε γιατί αυτό θα ήταν ένα σημαντικό ζήτημα.

muo-security-smb-password-κλοπή

Ωστόσο, το Facebook έχει, μέχρι στιγμής, εκλεγεί να κάνει ελάχιστα για να αντιμετωπίσει το θέμα, καθώς θα έθετε σε κίνδυνο τη δική του συμβατότητα με έναν τεράστιο αριθμό χώρων. Το τρίτο τεύχος μπορεί να καθοριστεί από οποιονδήποτε ενδιαφερόμενο ιδιοκτήτη ιστότοπου, αλλά τα δύο πρώτα βρίσκονται αποκλειστικά στην πόρτα του Facebook.

Για να αποδειχθεί περαιτέρω η έλλειψη δράσης από το Facebook, ο Homakov έχει προωθήσει το θέμα περαιτέρω απελευθερώνοντας ένα εργαλείο χάκερ με το όνομα RECONNECT. Αυτό εκμεταλλεύεται το σφάλμα, επιτρέποντας στους χάκερς να δημιουργούν και να εισάγουν προσαρμοσμένες διευθύνσεις URL που χρησιμοποιούνται για την κατάληψη λογαριασμών σε ιστότοπους τρίτων. Homakov θα μπορούσε να κληθεί ανεύθυνη για την απελευθέρωση του εργαλείου Ποια είναι η διαφορά μεταξύ ενός καλού χάκερ και ενός κακού χάκερ; [Γνώμη] Ποια είναι η διαφορά μεταξύ ενός καλού χάκερ και ενός κακού χάκερ; [Γνώμη] Συχνά ακούμε κάτι στα νέα για τους χάκερ που κατεβαίνουν ιστότοπους, εκμεταλλεύονται ένα πλήθος προγραμμάτων ή απειλούν να μετακομίσουν τους δρόμους τους σε περιοχές υψηλής ασφάλειας όπου δεν πρέπει να ανήκουν. Αλλά, αν ... Διαβάστε περισσότερα, αλλά η ευθύνη έγκειται ακριβώς στην άρνηση του Facebook να καλύψει την ευπάθεια που έφερε στο φως πριν από ένα χρόνο .

Σύνδεση στο Facebook

Εν τω μεταξύ, παραμείνετε σε επαγρύπνηση. Μην κάνετε κλικ σε μη αξιόπιστους συνδέσμους από σελίδες με ανεπιθύμητη αλληλογραφία ή δεχτείτε αιτήματα φίλων από άτομα που δεν γνωρίζετε. Το Facebook έχει επίσης δημοσιεύσει μια δήλωση λέγοντας:

"Αυτή είναι μια καλά κατανοητή συμπεριφορά. Οι υπεύθυνοι ανάπτυξης που χρησιμοποιούν Login μπορούν να αποτρέψουν αυτό το πρόβλημα ακολουθώντας τις βέλτιστες πρακτικές μας και χρησιμοποιώντας την παράμετρο 'state' που παρέχουμε για την είσοδο στο OAuth. "

Ενθάρρυνση.

Περίπτωση 1α: Ποιος δεν με φίλε;

Άλλοι χρήστες του Facebook πέφτουν θήραμα για μια άλλη "υπηρεσία" που βασίζεται σε κλοπή πιστοποίησης σύνδεσης τρίτου μέρους του OAuth. Η σύνδεση OAuth έχει σχεδιαστεί για να εμποδίζει τους χρήστες να εισάγουν τον κωδικό τους σε οποιαδήποτε εφαρμογή ή υπηρεσία τρίτου μέρους, διατηρώντας το τείχος ασφαλείας.

Ειδοποίηση φίλων

Υπηρεσίες όπως η UnfriendAlert θύμα σε άτομα που προσπαθούν να ανακαλύψουν ποιος έχει παραιτηθεί από την ηλεκτρονική τους φιλία, ζητώντας από τα άτομα να εισάγουν τα διαπιστευτήρια τους σύνδεσης - στη συνέχεια στέλνοντάς τα κατευθείαν στο κακόβουλο site yougotunfriended.com . Το UnfriendAlert κατατάσσεται ως δυνητικά ανεπιθύμητο πρόγραμμα (PUP), εγκαθιστώντας σκόπιμα adware και κακόβουλα προγράμματα.

Δυστυχώς, το Facebook δεν μπορεί να σταματήσει τελείως τις υπηρεσίες αυτού του είδους, οπότε το βάρος των χρηστών των υπηρεσιών είναι να παραμείνουν σε επαγρύπνηση και να μην πέσουν για πράγματα που φαίνονται καλά για να είναι αληθινά.

Περίπτωση 2: Σφάλμα Google Apps

Το δεύτερο μας ευπάθεια οφείλεται σε ελάττωμα στη διαχείριση των καταχωρίσεων ονόματος τομέα από το Google Apps. Αν έχετε καταχωρίσει ποτέ έναν ιστότοπο, θα γνωρίζετε ότι η παροχή της επωνυμίας, της διεύθυνσης, της διεύθυνσής σας ηλεκτρονικού ταχυδρομείου και άλλων σημαντικών προσωπικών στοιχείων είναι απαραίτητη για τη διαδικασία. Μετά την εγγραφή, οποιοσδήποτε με αρκετό χρόνο μπορεί να εκτελέσει ένα Whois για να βρει αυτές τις δημόσιες πληροφορίες, εκτός αν υποβάλλετε αίτηση κατά την εγγραφή για να διατηρήσετε τα προσωπικά σας δεδομένα ιδιωτικά. Αυτό το χαρακτηριστικό συνήθως έρχεται με κόστος, και είναι εντελώς προαιρετικό.

Συνδεθείτε με την Google

Τα άτομα εκείνα που καταγράφουν ιστότοπους μέσω eNom και ζητούν από έναν ιδιωτικό Whois να διαπιστώσει ότι τα δεδομένα τους είχαν διαρρεύσει σιγά-σιγά κατά τη διάρκεια μιας περιόδου 18 μηνών. Το ελάττωμα του λογισμικού, που ανακαλύφθηκε στις 19 Φεβρουαρίου και συνδεόταν πέντε ημέρες αργότερα, διέρρευσε ιδιωτικά δεδομένα κάθε φορά που ανανεώθηκε η καταχώριση, ενδεχομένως εκθέτοντας ιδιώτες σε οποιοδήποτε αριθμό ζητημάτων προστασίας δεδομένων.

Αναζήτηση Whois

Δεν είναι εύκολη η πρόσβαση στις 282.000 κυκλοφοριακές εκδόσεις. Δεν θα σκοντάψετε σε αυτό στο διαδίκτυο. Αλλά είναι τώρα ένα ανεξάντλητο σφάλμα στην ιστορία της Google, και είναι εξίσου ανεξίτηλο από τα τεράστια περιγράμματα του Internet. Και αν ακόμη και το 5%, το 10% ή το 15% των ατόμων αρχίζουν να λαμβάνουν υψηλά στοχευμένα, κακόβουλα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος με δόλωμα, αυτό εκθέτει τα μπαλόνια σε μια μεγάλη κεφαλαλγία δεδομένων τόσο για το Google όσο και για το eNom.

Περίπτωση 3: Με απογοήτευσε

Πρόκειται για ευπάθεια πολλαπλού δικτύου Κάθε έκδοση των Windows επηρεάζεται από αυτό το θέμα ευπάθειας - Τι μπορείτε να κάνετε γι 'αυτό. Κάθε έκδοση των Windows επηρεάζεται από αυτό το θέμα ευπάθειας - Τι μπορείτε να κάνετε γι 'αυτό. Τι θα λέγατε αν σας είπαμε ότι η έκδοση των Windows σας επηρεάζεται από μια ευπάθεια που χρονολογείται από το 1997; Δυστυχώς, αυτό είναι αλήθεια. Η Microsoft απλά δεν το έβαλε ποτέ. Σειρά σου! Διαβάστε περισσότερα, επιτρέποντας σε έναν χάκερ να εκμεταλλευτεί και πάλι τα σήματα τρίτου μέρους σε συστήματα που αξιοποιούν τόσα πολλά δημοφιλή sites. Ο χάκερ υποβάλλει αίτημα με μια αναγνωρισμένη ευάλωτη υπηρεσία χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου του θύματος, μία που είναι γνωστή στο παρελθόν στην ευάλωτη υπηρεσία. Ο χάκερ μπορεί στη συνέχεια να παραβιάσει τα στοιχεία του χρήστη με το ψεύτικο λογαριασμό, αποκτώντας πρόσβαση στον κοινωνικό λογαριασμό που ολοκληρώνεται με επιβεβαίωση επιβεβαίωσης μέσω ηλεκτρονικού ταχυδρομείου.

Καθαρή ασφάλεια

Για να λειτουργήσει αυτό το hack, ο ιστότοπος τρίτου μέρους πρέπει να υποστηρίζει τουλάχιστον μία σύνδεση σε άλλο κοινωνικό δίκτυο χρησιμοποιώντας έναν άλλο πάροχο ταυτότητας ή τη δυνατότητα χρήσης τοπικών προσωπικών διαπιστευτηρίων ιστοτόπου. Είναι παρόμοιο με το hack στο Facebook, αλλά παρουσιάστηκε σε ένα ευρύτερο φάσμα ιστότοπων, συμπεριλαμβανομένων των Amazon, LinkedIn και MYDIGIPASS, μεταξύ άλλων, και θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για να συνδεθεί σε ευαίσθητες υπηρεσίες με κακόβουλη πρόθεση.

Δεν είναι λάθος, είναι χαρακτηριστικό

Ορισμένες από τις τοποθεσίες που εμπλέκονται σε αυτόν τον τρόπο επίθεσης δεν έχουν αφήσει στην πραγματικότητα να πετάξει κάτω από το ραντάρ μια κρίσιμη ευπάθεια: είναι χτισμένες απευθείας στο σύστημα Μήπως η προεπιλεγμένη διαμόρφωση του δρομολογητή σας καθιστά ευάλωτη σε χάκερ και απατεώνες; Η προεπιλεγμένη διαμόρφωση του δρομολογητή σας καθιστά ευάλωτη σε χάκερ και απατεώνες; Οι δρομολογητές σπάνια φθάνουν σε ασφαλή κατάσταση, αλλά ακόμα και αν έχετε πάρει το χρόνο να ρυθμίσετε σωστά τον ασύρματο (ή ενσύρματο) δρομολογητή σας, μπορεί να αποδειχθεί ότι είναι ο ασθενής σύνδεσμος. Διαβάστε περισσότερα . Ένα παράδειγμα είναι το Twitter. Βανίλια Twitter είναι καλό, αν έχετε ένα λογαριασμό. Μόλις διαχειριστείτε πολλούς λογαριασμούς, για διαφορετικούς κλάδους, προσεγγίσετε μια σειρά θεατών, χρειάζεστε μια εφαρμογή όπως το Hootsuite ή το TweetDeck 6 δωρεάν τρόποι να προγραμματίσετε tweets 6 ελεύθεροι τρόποι προγραμματισμού Tweets Χρησιμοποιώντας το Twitter είναι πραγματικά εδώ και τώρα. Βρίσκετε ένα ενδιαφέρον άρθρο, μια ωραία εικόνα, ένα εκπληκτικό βίντεο ή ίσως απλά θέλετε να μοιραστείτε κάτι που μόλις συνειδητοποιήσατε ή σκεφτήκατε. Είτε ... Διαβάστε περισσότερα.

Δομή

Οι εφαρμογές αυτές επικοινωνούν με το Twitter χρησιμοποιώντας μια πολύ παρόμοια διαδικασία σύνδεσης καθώς χρειάζονται επίσης άμεση πρόσβαση στο κοινωνικό σας δίκτυο και ζητείται από τους χρήστες να παρέχουν τα ίδια δικαιώματα. Δημιουργεί ένα δύσκολο σενάριο για πολλούς παρόχους κοινωνικών δικτύων, καθώς οι εφαρμογές τρίτων προσφέρουν τόσο στην κοινωνική σφαίρα, αλλά δημιουργούν σαφώς προβλήματα για τον χρήστη και τον πάροχο.

Μάνδρισμα ζώων

Εντοπίσαμε τρωτά σημεία κοινωνικής υπογραφής τριών και τριών κομμάτων, τα οποία πρέπει τώρα να εντοπίσετε και να αποφύγετε. Οι χάρτες κοινωνικής σύνδεσης δεν πρόκειται να στεγνώσουν εν μία νυκτί. Η πιθανή αποζημίωση για τους χάκερ 4 Top Hacker Groups και τι θέλουν 4 κορυφαίες ομάδες χάκερ και τι θέλουν Είναι εύκολο να σκεφτούμε τις ομάδες χάκερ ως κάποιο είδος ρομαντικών επαναστατών στο πίσω μέρος. Αλλά ποιοι είναι αυτοί; Τι αντιπροσωπεύουν και ποιες επιθέσεις έχουν κάνει στο παρελθόν; Διαβάστε περισσότερα είναι πάρα πολύ μεγάλη και όταν οι τεράστιες τεχνολογίες εταιρείες όπως το Facebook αρνούνται να ενεργήσουν προς το συμφέρον των χρηστών τους, ανοίγουν ουσιαστικά την πόρτα και αφήνουν τους να σκουπίσουν τα πόδια τους στην αποθήκη προσωπικών δεδομένων.

Έχει συμβεί ο κοινωνικός σας λογαριασμός από τρίτο; Τι συνέβη? Πώς ανακτήσατε;

Image Credit: δυαδικός κώδικας Μέσω Shutterstock, Δομή μέσω Pixabay

In this article