Mainos

Kirjaudu Facebookilla. Kirjaudu sisään Googlella. Verkkosivustot hyödyntävät säännöllisesti kirjautumissivumme varmistaaksemme vierailumme ja varmistaaksemme, että ne tartuttavat viipaletta henkilötietojen piirakkaan. Mutta millä hinnalla? Turvallisuustutkija havaitsi äskettäin haavoittuvuuden Kirjaudu Facebookilla ominaisuus löytyy tuhansilta sivustoilta. Samoin Google App -verkkotunnuksen käyttöliittymässä oleva virhe aiheutti satojen tuhansien henkilöiden yksityisten tietojen julkista saatavuutta.

Nämä ovat vakavia ongelmia, joita kohtaavat kaksi suurinta kotitalouksien teknistä nimeä. Vaikka näitä asioita käsitellään asianmukaisesti levottomasti ja haavoittuvuudet korjataan, annetaanko kansalaisille riittävästi tietoisuutta? Katsotaanpa jokaista tapausta ja mitä se tarkoittaa verkkoturvallisuutesi kannalta.

Tapaus 1: Kirjaudu Facebookilla

Kirjaudu sisään Facebook-haavoittuvuus paljastaa tilisi - mutta ei todellista Facebook-salasanaasi - ja asentamasi kolmansien osapuolien sovellukset, kuten Bit.ly, Mashable, Vimeo, About.me, ja joukko muita.

instagram viewer

Sakurityn turvallisuustutkijan Egor Homakovin havaitseman kriittisen virheen ansiosta hakkerit voivat väärinkäyttää Facebook-koodin valvontaa. Virhe johtuu tarkoituksenmukaisuuden puutteesta Sivustojenvälinen väärentämispyyntö (CSFR) -suojaus kolmelle eri prosessille: Facebook-kirjautuminen, Facebook-uloskirjautuminen ja kolmannen osapuolen tiliyhteys. Haavoittuvuus sallii ei-toivotun osapuolen suorittaa toimenpiteitä todennetussa tilissä. Voit nähdä, miksi tämä olisi merkittävä ongelma.

MUO-turvallisuus-SMB-salasana-varkaus

Silti Facebook on toistaiseksi päättänyt tehdä hyvin vähän ongelman ratkaisemiseksi, koska se vaarantaisi heidän oman yhteensopivuutensa suuren määrän sivustojen kanssa. Kolmannen kysymyksen voi korjata kuka tahansa asianomainen verkkosivuston omistaja, mutta kaksi ensimmäistä ovat yksinomaan Facebookin ovella.

Esimerkiksi Facebookin tekemästä toiminnan puutteesta Homakov on jatkanut asiaa edelleen julkaisemalla hakkerointityökalun nimeltä RECONNECT. Tämä hyödyntää virhettä, jolloin hakkerit voivat luoda ja lisätä mukautettuja URL-osoitteita, joita käytetään tilien kaappaamiseen kolmansien osapuolien sivustoilta. Homakovia voidaan kutsua vastuuton työkalun vapauttamisesta Mitä eroa on hyvä hakkeri ja huono hakkeri? [Lausunto]Aina silloin tällöin kuulemme jotain uutisia hakkereista, jotka poistavat sivustoja, käyttävät hyväkseen lukuisia ohjelmia tai uhkaavat heilua tiensä korkean turvallisuuden alueille, joilla he ovat ei pitäisi kuulua. Mutta jos... Lue lisää , mutta syy on selvästi Facebookin kieltäytymiseen korjaamasta haavoittuvuutta tuotiin esille yli vuosi sitten.

Kirjaudu Facebookiin

Sillä välin ole valppaana. Älä napsauta epäluotettavia linkkejä roskapostin näköisiltä sivuilta tai hyväksy ystäväpyyntöjä ihmisiltä, ​​joita et tunne. Facebook on myös julkaissut lausunnon, jossa sanotaan:

”Tämä on hyvin ymmärrettyä käyttäytymistä. Sisäänkirjautumista käyttävät sivuston kehittäjät voivat estää tämän ongelman seuraamalla parhaita käytäntöjämme ja käyttämällä tilaparametria, jonka tarjoamme OAuth-kirjautumiseen. "

Rohkaisevia.

Tapaus 1a: Kuka ei vihannut minua?

Muut Facebook-käyttäjät ovat saalis toisen "palvelun" saalistamiseksi kolmannen osapuolen OAuth-kirjautumistietojen varkauksista. OAuth-kirjautumisen tarkoituksena on estää käyttäjiä syöttämästä salasanaa mihin tahansa kolmannen osapuolen sovellukseen tai palveluun, säilyttäen suojauksen muuri.

Ystävällinen ilmoita

Palvelut kuten UnfriendAlert saalis ihmisille, jotka yrittävät löytää kuka on luopunut online-ystävyydestään, pyytämällä henkilöitä antamaan kirjautumistietonsa - lähettämällä heidät suoraan vahingolliselle sivustolle yougotunfriended.com. UnfriendAlert luokitellaan potentiaalisesti ei-toivotuksi ohjelmaan (PUP), joka asentaa tahallisesti mainos- ja haittaohjelmat.

Valitettavasti Facebook ei voi täysin lopettaa tällaisia ​​palveluita, joten palvelun käyttäjien velvollisuus on olla valppaana eikä kuulu asioihin, jotka vaikuttavat olevan totta.

Tapaus 2: Google Apps -vika

Toinen haavoittuvuutemme johtuu virheestä Google Appsin verkkotunnusten rekisteröintien käsittelyssä. Jos olet joskus rekisteröinyt verkkosivuston, tiedät, että nimesi, osoitteesi, sähköpostiosoitteesi ja muut tärkeät yksityiset tiedot ovat välttämättömiä prosessissa. Rekisteröinnin jälkeen kuka tahansa, jolla on tarpeeksi aikaa, voi ajaa a Kuka on löytää nämä julkiset tiedot, ellet tee rekisteröinnin yhteydessä pyyntöä pitää henkilötietosi yksityisinä. Tämä ominaisuus tulee yleensä kustannuksin ja on täysin valinnainen.

Kirjaudu sisään Googlella

Ne henkilöt, jotka rekisteröivät sivustoja eNomin kautta ja pyytämällä yksityistä Whois-palvelua havaittiin, että heidän tietonsa olivat vuotaneet hitaasti noin 18 kuukauden ajan. Ohjelmistovika, löydetty 19. helmikuutath ja liitetty viisi päivää myöhemmin, vuotanut yksityisiä tietoja joka kerta kun rekisteröintiä uusittiin, jolloin yksityishenkilöt saattavat altistaa tietyn määrän tietosuojakysymyksiä.

Whois-haku

282 000 enimmäislevyn julkaisun käyttäminen ei ole helppoa. Et voi kompastua sen yli verkossa. Mutta se on nyt pysyvä vika Googlen aikaisempien kokemusten suhteen, ja se on myös pysyvä Internetin valtavasta joukosta. Ja jos jopa 5%, 10% tai 15% ihmisistä alkaa vastaanottaa kohdistettuja, haitallisia keihäsyrityksiä koskevia sähköpostiviestejä, tämä aiheuttaa ilmapalloista merkittävän tietopäänsärkyn sekä Googlelle että eNomille.

Tapaus 3: Huijattu minua

Tämä on monen verkon haavoittuvuus Tämä haavoittuvuus vaikuttaa jokaisessa Windows-versiossa - mitä sinä voit tehdä.Mitä sanoisit, jos sanoisimme, että Windows-versiosi on haavoittuvuus, joka juontaa juurensa vuonna 1997? Valitettavasti tämä on totta. Microsoft ei yksinkertaisesti koskaan korjannut sitä. Sinun vuorosi! Lue lisää sallimalla hakkeri hyödyntää uudelleen kolmansien osapuolien kirjautumisjärjestelmiä, joita ovat hyödyntäneet niin monet suositut sivustot. Hakkeri lähettää tunnistetun haavoittuvan palvelun pyynnön uhrin sähköpostiosoitteella, joka on aiemmin tiedossa haavoittuvalle palvelulle. Hakkeri voi sitten huijata käyttäjän tietoja väärentämällä, saaden pääsyn sosiaalitilille täydellisenä vahvistetulla sähköpostivahvistuksella.

Verkkoturva

Jotta tämä hakkerointi toimisi, kolmannen osapuolen sivuston on tuettava ainakin yhtä muuta sosiaaliseen verkkoon kirjautumista toisella identiteettitoimittajalla tai kykyä käyttää paikallisten henkilökohtaisten verkkosivustojen valtuustietoja. Se on samanlainen kuin Facebook-hakkerointi, mutta se on nähty monilla verkkosivustoilla, kuten Amazon, LinkedIn ja MYDIGIPASS, ja niitä voidaan mahdollisesti käyttää kirjautumiseen arkaluontoisiin palveluihin vahingollinen tarkoitus.

Se ei ole virhe, se on ominaisuus

Jotkut tämän hyökkäysmoodin kohteena olevista sivustoista eivät ole todella antaneet kriittisen haavoittuvuuden lentää tutkan alla: ne ovat rakennettu suoraan järjestelmään Tekeekö oletusreitittimen kokoonpano haavoittuvaksi hakkereille ja huijareille?Reitittimet saapuvat harvoin turvalliseen tilaan, mutta vaikka oletkin ottanut aikaa määrittää langaton (tai langallinen) reititin oikein, se voi silti osoittautua heikoksi linkiksi. Lue lisää . Yksi esimerkki on Twitter. Vanilla Twitter on hyvä, jos sinulla on yksi tili. Kun olet hallinnoinut useita tilejä eri toimialoille ja lähestymässä erilaisia ​​yleisöjä, tarvitset sovelluksen kuten Hootsuite tai TweetDeck 6 ilmaista tapaa ajoittaa twiititTwitterin käyttäminen on todella täällä ja nyt. Löydät mielenkiintoisen artikkelin, hienon kuvan, loistavan videon tai ehkä haluat vain jakaa jotain, jonka olet juuri tajusi tai ajatellut. Jompikumpi... Lue lisää .

Rakenne

Nämä sovellukset kommunikoivat Twitterin kanssa hyvin samankaltaisella kirjautumismenettelyllä, koska myös he tarvitsevat suoran pääsyn sosiaaliseen verkkoosi, ja käyttäjiä pyydetään antamaan samat oikeudet. Se luo vaikean skenaarion monille sosiaalisen verkoston tarjoajille, koska kolmansien osapuolten sovellukset tuovat niin paljon sosiaaliselle alueelle, mutta luovat selvästi turvallisuushaittoja sekä käyttäjille että palveluntarjoajille.

Pyöristää

Olemme tunnistaneet kolme ja vähän bittiä koskevan sosiaalisen sisäänkirjautumisen haavoittuvuudet, jotka sinun pitäisi nyt pystyä tunnistamaan ja toivottavasti välttämään. Sosiaalinen sisäänkirjautuminen hakkerit eivät aio kuivua yön yli. mahdollinen hyöty hakkereille 4 suosituinta hakkerointiryhmää ja mitä he haluavatHakkeriryhmiä on helppo ajatella jonkinlaisena romanttisena takahuoneen vallankumouksellisena. Mutta kuka he oikeasti ovat? Mitä he edustavat ja mitä hyökkäyksiä he ovat aikaisemmin suorittaneet? Lue lisää on liian suuri, ja kun massiiviset teknologiatyritykset, kuten Facebook, kieltäytyvät toimimasta parhaan edun mukaisesti käyttäjiltään, se on pohjimmiltaan oven avaamista ja antaa heidän pyyhkiä jalkansa tietosuojaan kynnysmatto.

Onko kolmas osapuoli vaarannut sosiaalitilisi? Mitä tapahtui? Kuinka toiputit?

Kuvahyvitys:binaarikoodi Shutterstockin kautta, Rakenne Pixabayn kautta

Gavin on MUO: n vanhempi kirjoittaja. Hän on myös toimittaja ja SEO Manager MakeUseOfin salaustekniselle sisaryritykselle Blocks Decoded. Hänellä on nykyaikainen BA (Hons) -kirjallisuus digitaalisen taiteen käytännöllä, joka on repiä Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsasta määrää teetä.