Reklaam

Logi sisse Facebookiga. Logi sisse Google'iga. Veebisaidid võimendavad regulaarselt meie sisselogimise soovi, et tagada meie külastamine ja tagada, et nad haaravad viilu isikuandmete pirukast. Aga mis hinnaga? Turbeuuringute uurija avastas hiljuti turvaauke Logi sisse Facebookiga funktsiooni, mida leidub tuhandetel saitidel. Samamoodi avaldas viga Google Appi domeeninime liideses avalikkusele sadu tuhandeid üksikisikute privaatseid andmeid.

Need on tõsised probleemid, millega seisavad silmitsi kaks suurimat majapidamistehnikat. Ehkki neid küsimusi käsitletakse asjakohase rahutusega ja nõrgad kohad kõrvaldatakse, kas avalikkusele antakse piisavalt teadlikkust? Vaatame iga juhtumit ja seda, mida see teie veebiturvalisuse jaoks tähendab.

1. juhtum: Logi sisse Facebookiga

Facebooki haavatavusega sisselogimine paljastab teie kontod - kuid mitte tegeliku Facebooki parooli - ja teie installitud kolmanda osapoole rakendused, näiteks Bit.ly, Mashable, Vimeo, About.meja paljud teised.

Sakurity turvalisuse uurija Egor Homakovi avastatud kriitiline viga võimaldab häkkeritel kuritarvitada ülevaadet Facebooki koodist. Viga tuleneb asjakohase puudusest

instagram viewer
Saitideülene võltsimise taotlus (CSFR) kaitse kolmele erinevale protsessile: Facebooki sisselogimine, Facebooki väljalogimine ja kolmanda osapoole kontoühendus. Haavatavus lubab soovimatul isikul toiminguid autentitud kontol teostada. Saate aru, miks see oluline teema oleks.

muo-turvalisus-smb-parool-vargus

Kuid Facebook on siiani otsustanud selle probleemiga tegelemiseks teha väga vähe, kuna see kahjustaks nende endi ühilduvust suure hulga saitidega. Kolmanda numbri saab parandada iga asjaomane veebisaidi omanik, kuid kaks esimest asuvad eranditult Facebooki ukse ees.

Facebooki tehtud tegevuse puudumise näitlikustamiseks on Homakov seda teemat veelgi edasi lasknud, lastes välja häkkerite tööriista nimega RECONNECT. See kasutab viga, lastes häkkeritel luua ja sisestada kohandatud URL-e, mida kasutatakse kontode kaaperdamiseks kolmandate osapoolte saitidel. Homakovi võiks nimetada tööriista vabastamise eest vastutustundetu Mis vahe on hea häkker ja halb häkker? [Arvamus]Aeg-ajalt kuuleme uudistes midagi häkkerite kohta, kes hävitavad saite, kasutavad ära a arvukalt programme või ähvardab nad oma teed tungida kõrge turvalisusega piirkondadesse, kus nad asuvad ei tohiks kuuluda. Aga kui ... Loe rohkem , kuid süüdi on selgelt Facebooki keeldumine haavatavust parandamast toodi päevavalgele üle aasta tagasi.

Logi sisse Facebooki

Vahepeal olge valvas. Ärge klõpsake rämpsposti ilmega lehtede usaldamatutel linkidel ega võtke vastu sõprade taotlusi inimestelt, keda te ei tunne. Facebook on avaldanud ka avalduse, milles öeldakse:

“See on hästi mõistetav käitumine. Sisselogimist kasutavad saidiarendajad saavad selle probleemi ära hoida, järgides meie parimaid tavasid ja kasutades parameetrit „olek”, mille pakume OAuthi sisselogimiseks. ”

Julgustav.

Juhtum 1a: kes mind ei ühendanud?

Teised Facebooki kasutajad on saamas järjekordse teenuse "teenuse" ohvriks kolmanda osapoole OAuthi sisselogimismandaadi varguse eest. OAuthi sisselogimine on loodud selleks, et peatada kasutajate paroolide sisestamine mis tahes muude tootjate rakendustesse või teenustesse, säilitades turvamüüri.

Ebasõbralik teata

Sellised teenused nagu SõbrannaAlert saagiks üksikisikutele, kes üritavad teada saada, kes on loobunud oma veebisõprusest, paludes inimestel sisestada oma sisselogimismandaadid - saates seejärel otse pahatahtlikule saidile yougotunfriended.com. UnfriendAlert liigitatakse potentsiaalselt soovimatute programmide hulka (PUP), mis installivad tahtlikult reklaam- ja pahavara.

Kahjuks ei saa Facebook sedalaadi teenuseid täielikult peatada, seega on teenuse kasutajatel kohustus olla valvas ja mitte langeda asjade jaoks, mis tunduvad olevat tõesed.

2. juhtum: Google Appsi viga

Meie teine ​​haavatavus tuleneb puudusest Google Appsi domeeninimede registreerimisel. Kui olete kunagi veebisaidi registreerinud, teate oma nime, aadressi, e-posti aadressi ja muu olulise privaatse teabe esitamist protsessi jaoks üliolulisena. Pärast registreerimist saab igaüks, kellel on piisavalt aega jooksma a Kes on selle avaliku teabe leidmiseks, välja arvatud juhul, kui registreerimise ajal esitate taotluse oma isikuandmete privaatsuse tagamiseks. See funktsioon on tavaliselt tasuline ja täiesti vabatahtlik.

Logi sisse Google'iga

Need isikud registreerivad saite eNomi kaudu ja eraviisilise Whoisi taotlemine leidis, et nende andmed on 18 kuu jooksul umbes aeglaselt lekkinud. Tarkvaradefekt avastati 19. veebruarilth ja viis päeva hiljem ühendati, lekkis iga kord, kui registreerimist pikendati, eraandmeid, tekitades eraisikutele potentsiaalse arvu andmekaitseprobleeme.

Whois Search

Juurdepääs 282 000 suurusele plaadiväljaandele pole lihtne. Te ei torka veebis selle peale. Kuid see on nüüd kustutamatu plekk Google'i saavutustes ja sama suur kustutamatu osa Interneti ulatuslikust hulgast. Ja kui isegi 5%, 10% või 15% inimestest hakkavad saama väga sihipäraseid, pahatahtlikke odaandmete õngitsemise e-kirju, tekitavad see õhupallid suurteks andmevaludeks nii Google'ile kui ka eNomile.

Juhtum 3: teotatud mind

See on mitme võrgu haavatavus See haavatavus mõjutab iga Windowsi versiooni - mida saate sellega teha.Mida ütleksite, kui me ütleksime teile, et teie Windowsi versiooni mõjutab haavatavus, mis pärineb 1997. aastast? Kahjuks on see tõsi. Microsoft lihtsalt ei lappinud seda. Sinu kord! Loe rohkem lubades häkkeril taas kasutada kolmandate osapoolte sisselogimissüsteeme, mida võimendavad nii paljud populaarsed saidid. Häkker esitab ohustatud e-posti aadressi abil tuvastatud haavatava teenusega päringu, mis on varem haavatavale teenistusele teada. Seejärel saab häkker võltskonto abil kasutaja andmeid rikkuda, pääsedes juurde sotsiaalsele kontole koos kinnitatud e-posti aadressi kinnitusega.

Net turvalisus

Selle häkkimise toimimiseks peab kolmanda osapoole sait toetama vähemalt ühte muud sisselogimist sotsiaalvõrgustikku, kasutades teist identiteedipakkujat, või võimalust kasutada kohaliku isikliku veebisaidi mandaati. See sarnaneb Facebooki häkkimisega, kuid seda on nähtud paljudes veebisaitides, sealhulgas Amazon, LinkedIn ja MYDIGIPASS ning neid saab potentsiaalselt kasutada tundlike teenuste sisse logimiseks pahatahtlik kavatsus.

See pole viga, see on funktsioon

Mõni selle rünnakurežiimiga seotud sait ei ole tegelikult lasknud kriitilisel haavatavusel radari all lennata: need on otse süsteemi sisse ehitatud Kas teie ruuteri vaikekonfiguratsioon muudab teid häkkerite ja petturite jaoks haavatavaks?Ruuterid jõuavad harva turvalisse olekusse, kuid isegi kui olete võtnud aega oma traadita (või traadiga) ruuteri õigeks konfigureerimiseks, võib see siiski osutuda nõrgaks lüliks. Loe rohkem . Üks näide on Twitter. Vanilla Twitter on hea, kui teil on üks konto. Kui olete hallanud mitut eri majandusharude kontot ja lähenenud paljudele vaatajaskondadele, vajate rakendust nagu Hootsuite või TweetDeck 6 tasuta viisi Tweetide ajastamiseksTwitteri kasutamine puudutab tõesti siin ja praegu. Leiate huvitava artikli, laheda pildi, vinge video või võib-olla soovite lihtsalt jagada midagi, mida olete just mõistnud või mõelnud. Kas ... Loe rohkem .

Struktuur

Need rakendused suhtlevad Twitteriga, kasutades väga sarnast sisselogimisprotseduuri, kuna ka nemad vajavad otsest juurdepääsu teie sotsiaalsele võrgule ning kasutajatel palutakse anda samad õigused. See loob paljude sotsiaalsete võrgustike pakkujate jaoks keeruka stsenaariumi, kuna kolmandate osapoolte rakendused toovad nii palju sotsiaalsfääri, kuid tekitavad selgelt turvalisuse ebamugavusi nii kasutajatele kui ka pakkujatele.

Kokku võtma

Oleme tuvastanud kolm ja natuke sotsiaalset sisselogimishaavatavust, mida peaksite nüüd saama tuvastada ja mida loodetavasti vältida. Sotsiaalse sisselogimise häkked ei kuiva üleöö. häkkerite potentsiaalne tasuvus 4 populaarseimat häkkerirühma ja mida nad tahavadHäkkerirühmi on lihtne mõelda kui mingisuguseid romantilisi tagaruumi revolutsionääre. Aga kes nad tegelikult on? Mille eest nad seisavad ja milliseid rünnakuid nad on varem läbi viinud? Loe rohkem on liiga suur ning kui sellised massiivsed tehnoloogiaettevõtted nagu Facebook keelduvad tegutsemast parimate huvidega nende kasutajate jaoks on põhimõtteliselt ukse avamine ja laskmine neil andmete privaatsusele jalad pühkida uksematt.

Kas kolmas isik on teie sotsiaalkontot ohustanud? Mis juhtus? Kuidas sa taastusid?

Kujutise krediit:binaarne kood Shutterstocki kaudu, Struktuur Pixabay kaudu

Gavin on MUO vanemkirjanik. Ta on ka MakeUseOfi krüpteerimisele keskendunud õdede saidi Blocks Decoded toimetaja ja SEO Manager. Tal on BA (Hons) kaasaegne kirjutamine koos digitaalse kunsti praktikatega, mis on rüüstatud Devoni künkadest, samuti üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib ohtralt teed.