Oglas

Prijava s Facebookom. Prijavite se z Googlom. Spletna mesta redno izkoriščajo našo željo po prijavi z lahkoto, da bi zagotovili, da obiščemo, in zagotovili, da posežejo po koščku osebnih podatkov. Toda za kakšno ceno? Pred kratkim je varnostni raziskovalec odkril ranljivost Prijava s Facebookom funkcija, ki jo najdemo na več tisoč spletnih mestih. Podobno je hrošč v vmesniku imena domene Google App izpostavil javnosti zasebne podatke več sto tisoč posameznikov.

To sta resni težavi, s katerimi se srečujeta dve največji imeni gospodinjstev. Medtem ko se bodo ta vprašanja obravnavala primerno nelagodno in ranljivosti zakrpane, ali je javnost dovolj ozaveščena? Poglejmo vsak primer in kaj to pomeni za vašo spletno varnost.

Primer 1: Prijava s Facebook

Ranljivost Prijava s Facebookom izpostavi vaše račune - vendar ne dejanskega Facebookovega gesla - in aplikacije drugih proizvajalcev, ki ste jih namestili, na primer Bit.ly, Mashable, Vimeo, About.mein gostiteljica drugih.

Kritična napaka, ki jo je odkril Egor Homakov, varnostni raziskovalec za Sakurinovo, hekerjem omogoča, da zlorabijo nadzor nad Facebook kodo. Napaka izhaja iz pomanjkanja ustreznega

instagram viewer
Ponarejanje zahtevka na več mestih (CSFR) zaščita za tri različne procese: Facebook Prijava, Facebook Odjava in Povezava z računom tretjih oseb. Ranljivost v bistvu omogoča, da neželena stranka izvaja dejanja znotraj overjenega računa. Vidite, zakaj bi bilo to pomembno vprašanje.

muo-varnost-smb-krajo gesla

Kljub temu pa se je Facebook še odločil, da bo za reševanje tega vprašanja naredil zelo malo, saj bi s tem ogrožal njihovo združljivost z velikim številom spletnih mest. Tretjo številko lahko odpravi kateri koli zadevni lastnik spletnega mesta, vendar prva dva ležita izključno na vratih Facebooka.

Da bi nadalje pojasnil pomanjkanje ukrepov Facebooka, je Homakov to težavo nadaljeval z izdajo orodja za hekerje z imenom RECONNECT. To izkorišča napako, hekerjem pa omogoča ustvarjanje in vstavljanje URL-jev po meri, ki se uporabljajo za ugrabitev računov na spletnih mestih drugih proizvajalcev. Homakov bi se lahko imenoval neodgovorno za sprostitev orodja Kakšna je razlika med dobrim hekerjem in slabim hekerjem? [Mnenje]Vsake toliko časa v novicah slišimo kaj o hekerjih, ki lovijo mesta, izkoriščajo a množica programov ali grozi, da se bo preusmerila na območja z visoko varnostjo, kjer so ne bi smel pripadati. Ampak če... Preberi več , vendar je kriv očitno, da Facebook zavrača ranljivost na svetlo pred več kot enim letom.

Prijavite se na Facebook

Medtem ostanite pozorni. Ne klikajte nezaupljivih povezav s strani z neželeno pošto in ne sprejemajte zahtevkov prijateljev, ki jih ne poznate. Facebook je objavil tudi izjavo, v kateri piše:

"To je dobro razumljeno vedenje. Razvijalci spletnih mest, ki uporabljajo Login, lahko to težavo preprečijo tako, da sledijo našim najboljšim praksam in uporabijo parameter države, ki ga zagotovimo za prijavo v OAuth.

Spodbudno.

Primer 1a: Kdo me je odklonil?

Drugi uporabniki Facebooka postajajo plen za še eno "storitev", ki pleni ob kraji poverilnic drugih prijav OAuth. Vpis v OAuth je zasnovan tako, da uporabnikom ustavi, da vnesejo svoje geslo v katero koli tretjo aplikacijo ali storitev, pri čemer ohrani steno varnosti.

Unfriend Obvesti

Storitve, kot so UnfriendAlert pleni na posameznike, ki poskušajo odkriti, kdo se je odpovedal spletnemu prijateljstvu, in prosi posameznike, naj vnesejo svoje poverilnice - nato jih pošljejo naravnost na zlonamerno spletno mesto yougotunfriended.com. UnfriendAlert je razvrščen kot potencialno nezaželen program (PUP), ki namerno namešča adware in malware.

Na žalost Facebook ne more v celoti ustaviti takšnih storitev, zato uporabnik storitve ostaja previden in ne sodite za stvari, za katere se zdi, da so dobre.

2. primer: Bug Google Apps

Naša druga ranljivost izvira iz napake pri ravnanju z registracijami domen v storitvi Google Apps. Če ste kdaj registrirali spletno mesto, boste vedeli, da je vaše ime, naslov, e-poštni naslov in druge pomembne zasebne informacije bistvenega pomena za postopek. Po registraciji lahko vsakdo, ki ima dovolj časa teči a Kdo je najti te javne informacije, razen če med registracijo ne vložite zahteve za ohranjanje zasebnosti vaših osebnih podatkov. Ta funkcija ponavadi stane in je popolnoma neobvezna.

Prijavite se z Googlom

Tisti posamezniki, ki registrirajo spletna mesta prek eNom in zahtevo zasebnega Whois je ugotovil, da so njihovi podatki počasi puščali v obdobju 18 mesecev. Napaka v programski opremi, odkrita 19. februarjath in vključili pet dni kasneje, da so zasebni podatki puščali vsakič, ko je bila registracija obnovljena, in lahko zasebnike izpostavili kakršnemu koli številnemu vprašanju varstva podatkov.

Whois iskanje

Dostop do izdaje 282.000 skupnih posnetkov ni enostaven. Ne boste naleteli nanjo po spletu. Vendar je zdaj Googlova uspešnost neizbrisna pomanjkljivost in je prav tako neizbrisna pri velikem številu interneta. In če celo 5%, 10% ali 15% posameznikov začne prejemati zelo ciljno zlonamerna e-poštna sporočila o lažnem predstavljanju, to izda balone v velikem podatkovnem glavobolu tako za Google kot za eNom.

Primer 3: Spoofed Me

To je a večkratna ranljivost omrežja Vsaka različica sistema Windows vpliva na to ranljivost - kaj lahko storite v zvezi s tem.Kaj bi rekli, če bi vam povedali, da na vašo različico sistema Windows vpliva ranljivost, ki sega v leto 1997? Žal to drži. Microsoft ga preprosto ni nikoli zakrpal. Ti si na vrsti! Preberi več omogoči hekerju, da ponovno izkoristi sisteme za prijavo tretjih oseb, ki jih uporablja toliko priljubljenih spletnih mest. Heker vloži zahtevo z identificirano ranljivo storitvijo z e-poštnim naslovom žrtve, ki je ranljivi storitvi prej znan. Heker lahko nato ponare podatke o uporabniku s ponarejenim računom, tako da dobi dostop do socialnega računa skupaj s potrjenim preverjanjem e-pošte.

Neto varnost

Da ta kramp deluje, mora spletno mesto tretjih oseb podpirati vsaj še eno prijavo v družabno omrežje z uporabo drugega ponudnika identitete ali možnost uporabe lokalnih osebnih poverilnic. Podobno je s krampom v Facebooku, vendar je bilo opaziti na širšem spletnem mestu, vključno z Amazonom, LinkedIn in MYDIGIPASS med drugim in bi se lahko potencialno uporabljali za prijavo v občutljive storitve s zlonamerna namera.

To ni napaka, ampak funkcija

Nekatera spletna mesta, vpletena v ta način napada, dejansko niso pustila kritične ranljivosti pod radarjem: vgrajen neposredno v sistem Ali vas zaradi privzete konfiguracije usmerjevalnika izpostavljate hekerjem in prevarantom?Usmerjevalniki redko pridejo v varno stanje, a tudi če ste si vzeli čas za pravilno konfiguracijo brezžičnega (ali ožičenega) usmerjevalnika, se lahko vseeno izkaže za šibko povezavo. Preberi več . En primer je Twitter. Vanilla Twitter je dobro, če imate en račun. Ko upravljate več računov za različne panoge in se približate številnim občinstvom, potrebujete aplikacijo kot je Hootsuite ali TweetDeck 6 brezplačnih načinov za razporejanje tweetovUporaba Twitterja je resnično tukaj in zdaj. Najdete zanimiv članek, kul sliko, osupljiv videoposnetek ali morda želite le deliti nekaj, o čemer ste pravkar spoznali ali razmišljali. Bodisi ... Preberi več .

Struktura

Te aplikacije komunicirajo s Twitterjem po zelo podobnem postopku prijave, saj tudi oni potrebujejo neposreden dostop do vašega družbenega omrežja, uporabniki pa morajo dobiti enaka dovoljenja. Za številne ponudnike socialnih omrežij je težaven scenarij, saj aplikacije drugih proizvajalcev prinašajo toliko v socialno sfero, vendar očitno ustvarjajo neprijetnosti za varnost tako za uporabnika kot za ponudnika.

Zaokroži navzgor

Ugotovili smo tri in malo ranljivosti v družbeni prijavi, ki bi jih morali zdaj prepoznati in se jim upamo izogniti. Čeki čez družabno prijavo se čez noč ne bodo izsušili. The potencialno izplačilo hekerjem 4 Najboljše hekerske skupine in kaj hočejoHakerske skupine je enostavno predstavljati kot nekakšne romantične revolucionarne zalednike. Toda kdo so v resnici? Za kaj stojijo in kakšne napade so v preteklosti izvajali? Preberi več je preveč, in ko množična tehnološka podjetja, kot je Facebook, nočejo delovati v najboljšem interesu njihovih uporabnikov v bistvu odpira vrata in jim dovoli, da si obrišejo noge o zasebnosti podatkov ovratnica.

Ali je vaš socialni račun ogrožal tretja oseba? Kaj se je zgodilo? Kako ste si opomogli?

Kreditna slika:binarna koda Via Shutterstock, Struktura prek Pixabaja

Gavin je višji pisatelj na MUO. Je tudi urednik in vodja SEO-ja za kripto usmerjeno sestrsko spletno mesto MakeUseOf, Blocks Decoded. Ima BA (Hons) Sodobno pisanje z digitalnimi umetniškimi praksami, razbitimi s hribov Devona, in več kot desetletje profesionalnih izkušenj s pisanjem. Uživa obilne količine čaja.