Login med Facebook. Log ind med Google. Websites udnytter regelmæssigt vores ønske om at logge ind med lethed for at sikre, at vi besøger, og for at sikre, at de tager et stykke af persondataet. Men til hvilken pris? En sikkerhedsforsker har for nylig opdaget en sårbarhed i funktionen Login med Facebook, der findes på mange tusinde websteder. Tilsvarende udsatte en fejl i Google App-domænenavn-grænsefladen tusindvis af enkeltpersoners private data til offentligheden.
Dette er alvorlige problemer for to af de største husstands tech-navne. Mens disse spørgsmål vil blive behandlet med passende ubehag og sårbarheden patched, er der tilstrækkelig bevidsthed til offentligheden? Lad os se på hvert enkelt tilfælde, og hvad det betyder for din websikkerhed.
Sag 1: Log ind med Facebook
Login med Facebook-sårbarhed afslører dine konti - men ikke din egentlige Facebook-adgangskode - og de tredjepartsprogrammer, du har installeret, såsom Bit.ly, Mashable, Vimeo, About.me og vært for andre.
Den kritiske fejl, der er opdaget af Egor Homakov, sikkerhedsforsker for Sakurity, tillader hackere at misbruge et tilsyn i Facebook-koden. Fejlen stammer fra manglende passende beskyttelse mod cross-site request forgery (CSFR) for tre forskellige processer: Facebook Login, Facebook Logout og Tredjeparts Kontoforbindelse. Sårbarheden giver i det væsentlige en uønsket part til at udføre handlinger inden for en godkendt konto. Du kan se, hvorfor dette ville være et væsentligt problem.
Alligevel har Facebook valgt at gøre meget lidt for at løse problemet, da det ville kompromittere deres egen kompatibilitet med et stort antal websteder. Det tredje problem kan løses af enhver berørt webstedsejer, men de to første ligger udelukkende på Facebook-døren.
For yderligere at illustrere manglen på handling foretaget af Facebook har Homakov presset problemet yderligere ved at frigive et hackereværktøj ved navn RECONNECT. Dette udnytter fejlen, så hackere opretter og indsætter brugerdefinerede webadresser, der bruges til at kapre konti på tredjepartswebsteder. Homakov kunne kaldes uansvarlig for at frigive værktøjet Hvad er forskellen mellem en god hacker og en dårlig hacker? [Udtalelse] Hvad er forskellen mellem en god hacker og en dårlig hacker? [Udtalelse] Vi henter nu og da noget i nyheden om hackere, der tager ned websteder, udnytter en lang række programmer eller truer med at vride sig ind i områder med høj sikkerhed, hvor de ikke bør tilhøre. Men hvis ... Læs mere, men skylden ligger helt og holdent med, at Facebook nægter at patchere sårbarheden frem i lyset for et år siden .
I mellemtiden forbliver vågent. Klik ikke på usikrede links fra spammy-sider eller accepter venlige forespørgsler fra personer, du ikke kender. Facebook har også udgivet en erklæring, der siger:
"Dette er en velforståelig adfærd. Webstedsudviklere, der bruger login, kan forhindre dette problem ved at følge vores bedste praksis og bruge parameteren "state", som vi leverer til OAuth Login. "
Opmuntrende.
Sag 1a: Hvem har ikke elsket mig?
Andre Facebook-brugere falder i bytte for en anden "service" præying på tredjeparts OAuth login credential theft. OAuth login er designet til at stoppe brugerne at indtaste deres adgangskode til enhver tredjeparts applikation eller tjeneste, vedligeholdelse af væggen af sikkerhed.
Tjenester som UnfriendAlert bytte på enkeltpersoner, der forsøger at finde ud af, hvem der har afskediget deres online venskab, bede enkeltpersoner om at indtaste deres loginoplysninger og derefter sende dem direkte til ondsindede websted yougotunfriended.com . UnfriendAlert er klassificeret som et potentielt uønsket program (PUP), med vilje at installere adware og malware.
Desværre kan Facebook ikke helt stoppe tjenester som dette, så onus er på brugerne at forblive vågent og ikke falde for ting, der synes at være gode til at være sande.
Sag 2: Google Apps fejl
Vores anden sårbarhed stammer fra en fejl i håndtering af domænenavnsregistreringer i Google Apps. Hvis du nogensinde har registreret et websted, vil du vide, at dit navn, adresse, e-mail-adresse og andre vigtige private oplysninger er afgørende for processen. Efter registrering kan enhver med tilstrækkelig tid køre en Whois for at finde disse offentlige oplysninger, medmindre du stiller en anmodning under registrering for at holde dine personlige data privat. Denne funktion kommer normalt til en pris og er helt valgfri.
De personer, der registrerede websteder via eNom og anmodede om en privat Whois fandt deres data, var langsomt blevet lækket over en 18-måneders periode. Softwarens defekt, der blev opdaget den 19. februar og koblet fem dage senere, lækkede private data hver gang en registrering blev fornyet, hvilket potentielt udsatte privatpersoner for ethvert antal databeskyttelsesproblemer.
Adgang til 282.000 bulk record release er ikke let. Du vil ikke snuble over det på nettet. Men det er nu et uudsletteligt skam på Googles track record, og det er lige så uudsletteligt fra de store skifter af internettet. Og hvis endda 5%, 10% eller 15% af individerne begynder at modtage stærkt målrettede, ondskabsfuldt phishing-e-mails, forårsager det balloner til en stor datahovedpine for både Google og eNom.
Sag 3: Spoofed Me
Dette er en sårbarhed på flere netværk. Hver version af Windows påvirkes af denne sårbarhed - hvad du kan gøre ved det. Hver version af Windows påvirkes af denne sårbarhed - hvad du kan gøre ved det. Hvad ville du sige, hvis vi fortalte dig, at din version af Windows er påvirket af en sårbarhed, der går tilbage til 1997? Desværre er det sandt. Microsoft patchede simpelthen aldrig det. Din tur! Læs mere, så en hacker igen kan udnytte tredjeparts loginsystemer, der udnyttes af så mange populære websteder. Hackeren anbringer en anmodning med en identificeret sårbar tjeneste ved hjælp af offerets e-mail-adresse, som tidligere er kendt for den sårbare tjeneste. Hackeren kan så spoof brugerens detaljer med den falske konto, og får adgang til den sociale konto, komplet med bekræftet e-mail-verifikation.
For dette hack til arbejde skal tredjepartswebstedet understøtte mindst et andet socialt netværkstegning ved hjælp af en anden identitetsudbyder eller evnen til at bruge lokale personlige hjemmesider. Det ligner Facebook hack, men er blevet set på tværs af en bredere vifte af websteder, herunder Amazon, LinkedIn og MYDIGIPASS blandt andre, og kunne potentielt bruges til at logge ind på følsomme tjenester med ondsindet hensigt.
Det er ikke en fejl, det er en funktion
Nogle af de steder, der er involveret i denne angrebstilstand, har faktisk ikke ladet et kritisk sårbarhed flyve under radaren: de er bygget direkte ind i systemet. Har din standard router konfiguration gjort dig udsat for hackere og svindlere? Gør din standard router konfiguration i fare for hackere og svindlere? Routere kommer sjældent i en sikker tilstand, men selvom du har taget dig tid til at konfigurere din trådløse (eller kablede) router korrekt, kan det stadig vise sig at være den svage forbindelse. Læs mere . Et eksempel er kvidre. Vanilla Twitter er godt, hvis du har en konto. Når du administrerer flere konti, for forskellige brancher, der nærmer dig en bred vifte af publikum, har du brug for et program som Hootsuite eller TweetDeck 6 Gratis måder at planlægge tweets 6 gratis måder at planlægge tweets Brug af Twitter handler virkelig om her og nu. Du finder en interessant artikel, et sejt billede, en fantastisk video, eller måske vil du bare dele noget, du lige har indset eller tænkt på. Enten ... Læs mere.
Disse applikationer kommunikerer med Twitter ved hjælp af en meget lignende login procedure, da de også har brug for direkte adgang til dit sociale netværk, og brugerne bliver bedt om at give de samme tilladelser. Det skaber et vanskeligt scenario for mange udbydere af sociale netværk, da tredjeparts apps bringer så meget til det sociale område, men skaber alligevel ulemper for både bruger og udbyder.
Runde op
Vi har identificeret tre og en smule social log-in sårbarheder, du skal nu kunne identificere og forhåbentlig undgå. Sociale log-in hacks kommer ikke til at tørre op natten over. Den potentielle udbetaling for hackere 4 Top Hacker Grupper Og Hvad De Vil Ønske 4 Top Hacker Grupper Og Hvad De Vil Det er nemt at tænke på hackergrupper som en slags romantiske backroom revolutionærer. Men hvem er de virkelig? Hvad står de for, og hvilke angreb har de udført i fortiden? Læs mere er for stor, og når massive teknologier virksomheder som Facebook nægter at handle i deres brugeres bedste interesse, åbner det dybest set døren og lader dem tørre deres fødder på datasikkerhedsdørmaden.
Er din sociale konto blevet kompromitteret af en tredjepart? Hvad skete der? Hvordan fik du det?
Billedkredit: Binær kode Via Shutterstock, Struktur via Pixabay