Reklame

Login med Facebook. Log ind med Google. Hjemmesider udnytter regelmæssigt vores ønske om at logge ind med lethed for at sikre, at vi besøger, og for at sikre, at de får fat i et udsnit af den personlige datakage. Men til hvilke omkostninger? En sikkerhedsforsker opdagede for nylig en sårbarhed i Login med Facebook findes på mange tusinder af sider. Tilsvarende udsatte en fejl i grænsefladen til Google App-domænenavne hundreder af tusinder af private data til offentligheden.

Dette er alvorlige spørgsmål, der står over for to af de største husholdningsteknologiske navne. Selvom disse problemer bliver behandlet med passende uro og sårbarhederne løst, er der tilstrækkelig opmærksomhed givet offentligheden? Lad os se på hvert enkelt tilfælde, og hvad det betyder for din websikkerhed.

Sag 1: Login med Facebook

Sårbarheden Login med Facebook udsætter dine konti - men ikke din faktiske Facebook-adgangskode - og de tredjepartsprogrammer, du har installeret, f.eks. Bit.ly, Mashable, Vimeo, About.me, og vært for andre.

instagram viewer

Den kritiske fejl, opdaget af Egor Homakov, sikkerhedsforsker for Sakurity, giver hackere mulighed for at misbruge et tilsyn med Facebook-koden. Fejlen stammer fra en mangel på passende Forfalskning på tværs af websteder (CSFR) -beskyttelse til tre forskellige processer: Facebook-login, Facebook-logout og tredjepartskontoforbindelse. Sårbarheden tillader i det væsentlige en uønsket part at udføre handlinger inden for en godkendt konto. Du kan se, hvorfor dette ville være et vigtigt problem.

Muo-sikkerhed-smb-adgangskode-tyveri

Endnu har Facebook endnu ikke valgt at gøre meget lidt for at løse problemet, da det ville kompromittere deres egen kompatibilitet med et stort antal sider. Det tredje nummer kan rettes af enhver berørt webstedsejer, men de to første ligger udelukkende ved Facebook-døren.

For yderligere at eksemplificere den manglende handling, som Facebook har foretaget, har Homakov skubbet spørgsmålet videre ved at frigive et hackerværktøj ved navn RECONNECT. Dette udnytter fejlen og lader hackere oprette og indsætte tilpassede webadresser, der bruges til at kapre konti på tredjepartswebsteder. Homakov kunne kaldes uansvarligt for frigivelse af værktøjet Hvad er forskellen mellem en god hacker og en dårlig hacker? [Mening]Af og til hører vi noget i nyhederne om hackere, der fjerner websteder, udnytter a mangfoldighed af programmer eller truer med at vrikke sig vej ind i områder med høj sikkerhed, hvor de burde ikke høre til. Men hvis... Læs mere , men skylden ligger helt sammen med Facebooks afvisning af at afhjælpe sårbarheden bragt i lyset for over et år siden.

Log ind på Facebook

I mellemtiden skal du være opmærksom. Klik ikke på ikke-betroede links fra sider med spammy-udseende, eller accepter veneforespørgsler fra folk, som du ikke kender. Facebook har også frigivet en erklæring, der siger:

”Dette er en velforstået opførsel. Webstedsudviklere, der bruger Login, kan forhindre dette problem ved at følge vores bedste praksis og bruge den "tilstand" -parameter, vi leverer til OAuth-login. ”

Fremme.

Sag 1a: Hvem har mig ikke-venligt?

Andre Facebook-brugere er ved at blive bytte for en anden “service”, der bytter på tredjeparts OAuth-login-legitimationsstyveri. OAuth-login er designet til at forhindre brugere i at indtaste deres adgangskode til enhver tredjeparts applikation eller service og opretholde sikkerhedsmuren.

Ikke-venlig besked

Tjenester såsom UnfriendAlert bytte for enkeltpersoner, der forsøger at finde ud af, hvem der har afgivet deres online venskab, og bede enkeltpersoner om at indtaste deres loginoplysninger - og derefter sende dem direkte til ondsindet websted yougotunfriended.com. UnfriendAlert er klassificeret som et potentielt uønsket program (PUP), der med vilje installerer adware og malware.

Desværre kan Facebook ikke helt stoppe tjenester som dette, så onus er på servicebrugere til at forblive årvågen og ikke falde for ting, der synes at være rigtige.

Tilfælde 2: Google Apps-fejl

Vores anden sårbarhed stammer fra en fejl i Google Apps-håndtering af domænenavnsregistreringer. Hvis du nogensinde har registreret et websted, ved du, hvorvidt dit navn, adresse, e-mail-adresse og andre vigtige private oplysninger er vigtige for processen. Efter registrering kan enhver med nok tid køre a Hvem er at finde denne offentlige information, medmindre du sender en anmodning under registreringen om at holde dine personlige data private. Denne funktion kommer normalt til en pris og er helt valgfri.

Log ind med Google

De personer, der registrerer websteder via eNom og på anmodning om en privat Whois fandt deres data langsomt lækket i en periode på 18 måneder. Softwarefejlen blev opdaget 19. februarth og tilsluttet fem dage senere, lækkede private data hver gang en registrering blev fornyet, hvilket potentielt udsatte private for et hvilket som helst antal databeskyttelsesproblemer.

Whois-søgning

Det er ikke let at få adgang til 282.000 bulk-udgivelser. Du vil ikke snuble over det på nettet. Men det er nu en uudslettelig plet på Googles track record og er lige så uudslettelig fra de store skår på Internettet. Og hvis selv 5%, 10% eller 15% af individerne begynder at modtage meget målrettede, ondsindede spyd phishing-e-mails, udsender dette balloner til en stor datahovedpine for både Google og eNom.

Sag 3: Spooked Me

Dette er en sårbarhed over flere netværk Hver version af Windows påvirkes af denne sårbarhed - Hvad du kan gøre ved det.Hvad ville du sige, hvis vi fortalte dig, at din version af Windows er påvirket af en sårbarhed, der går tilbage til 1997? Desværre er dette sandt. Microsoft har simpelthen aldrig lappet det. Din tur! Læs mere hvilket giver en hacker mulighed for igen at udnytte tredjeparts log-in-systemer, der er udnyttet af så mange populære websteder. Hackeren indgiver en anmodning med en identificeret sårbar tjeneste ved hjælp af offerets e-mail-adresse, en, der tidligere er kendt for den sårbare service. Hackeren kan derefter forfalske brugerens detaljer med den falske konto og få adgang til den sociale konto komplet med bekræftet e-mail-verifikation.

Net sikkerhed

For at dette hack skal fungere, skal tredjepartswebstedet understøtte mindst et andet socialt netværk-login ved hjælp af en anden identitetsudbyder eller muligheden for at bruge lokale personlige webstedsoplysninger. Det ligner Facebook-hacket, men er blevet set på en bredere vifte af websteder, herunder Amazon, LinkedIn og MYDIGIPASS blandt andre og kunne potentielt bruges til at logge ind på følsomme tjenester med ondsindet hensigt.

Det er ikke en fejl, det er en funktion

Nogle af de steder, der er involveret i denne angrebetilstand, lader faktisk ikke en kritisk sårbarhed flyve under radaren: det er de indbygget direkte i systemet Gør din standardrouterkonfiguration dig sårbar overfor hackere og svindlere?Routere ankommer sjældent i sikker tilstand, men selv hvis du har taget dig tid til at konfigurere din trådløse (eller kablede) router korrekt, kan det stadig vise sig at være det svage link. Læs mere . Et eksempel er Twitter. Vanilla Twitter er godt, hvis du har en konto. Når du administrerer flere konti, for forskellige brancher, der nærmer sig en række målgrupper, har du brug for en applikation som Hootsuite eller TweetDeck 6 gratis måder at planlægge tweetsBrug af Twitter handler virkelig om her og nu. Du finder en interessant artikel, et cool billede, en fantastisk video, eller måske vil du bare dele noget, du lige har realiseret eller tænkt på. Enten ... Læs mere .

Struktur

Disse applikationer kommunikerer med Twitter ved hjælp af en meget lignende login-procedure, da de også har brug for direkte adgang til dit sociale netværk, og brugerne bliver bedt om at give de samme tilladelser. Det skaber et vanskeligt scenario for mange udbydere af sociale netværk, da apps fra tredjepart bringer så meget til den sociale sfære, men skaber klart sikkerhedsmæssige ulemper for både bruger og udbyder.

Runde op

Vi har identificeret tre-og-en-bit sociale login-sårbarheder, som du nu skal være i stand til at identificere og forhåbentlig undgå. Social login-hacks vil ikke tørre natten over. Det potentiel udbetaling for hackere 4 top hacker grupper og hvad de ønskerDet er let at tænke på hackergrupper som en slags romantiske bagværelsrevolutionærer. Men hvem er de egentlig? Hvad står de for, og hvilke angreb har de ført i fortiden? Læs mere er for stor, og når massive teknologier nægter virksomheder som Facebook at handle i bedste interesse af deres brugere, er det dybest set at åbne døren og lade dem tørre deres fødder på databeskyttelsen dørmåtte.

Er din sociale konto blevet kompromitteret af en tredjepart? Hvad skete der? Hvordan kom du dig?

Billedkredit:binær kode Via Shutterstock, Struktur via Pixabay

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret ud fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.