Реклама

Пријавите се са Фацебоок-ом. Пријавите се са Гоогле-ом. Веб странице редовно користе нашу жељу да се лако пријавимо како бисмо осигурали да их посећујемо и да осигурамо да посегну за комадом пита од личних података. Али по којој цени? Истраживач безбедности је недавно открио рањивост у Пријавите се са Фацебоок-ом функција која се налази на више хиљада веб локација. Слично томе, буг унутар интерфејса имена домене Гоогле Апп изложио је стотине хиљада појединаца приватне податке у јавности.

Ово су озбиљна питања с којима се суочавају два највећа домаћа технолошка имена. Док ће се према овим питањима третирати одговарајуће нелагодно и слабе рањивости, да ли је јавност довољно информирана? Погледајмо сваки случај и шта то значи за вашу веб безбедност.

Случај 1: Пријавите се путем Фацебоока

Рањивост пријаве са Фацебоок-ом открива ваше налоге - али не и вашу стварну Фацебоок лозинку - и апликације трећих произвођача које сте инсталирали, као што су Бит.ли, Масхабле, Вимео, Абоут.меи домаћин других.

instagram viewer

Критични пропуст који је открио Егор Хомаков, истраживач безбедности за компанију Сакуритет, омогућава хакерима да злоупотребе надзор над Фацебоок кодом. Пропуст је резултат недостатка одговарајућег Кривотворење захтева на више места (ЦСФР) заштита за три различита процеса: Фацебоок Логин, Фацебоок Одјава и Веза са налогом треће стране. Рањивост у суштини омогућава нежељеној страни да извршава радње унутар аутентификованог налога. Можете да видите зашто би то било значајно питање.

муо-сецурити-смб-крађа лозинке

Ипак, Фацебоок је, ипак, изабран да учини врло мало на решавању проблема јер би то угрозило њихову компатибилност са огромним бројем веб локација. Треће питање може ријешити сваки забринути власник веб странице, али прва два леже искључиво на вратима Фацебоока.

Како би додатно објаснио недостатак Фацебоок активности, Хомаков је то додатно покренуо издајући алат за хакере под називом РЕЦОННЕЦТ. Ово искориштава грешку, омогућавајући хакерима стварање и уметање прилагођених УРЛ адреса које се користе за отмицу налога на веб локацијама трећих страна. Хомаков би могао да се назове неодговорно за пуштање алата Каква је разлика између доброг хакера и лошег хакера? [Мишљење]С времена на време у вестима чујемо нешто о хакерима који руше сајтове, искориштавају а мноштво програма или прети да се провуче у подручја високе безбедности не треба да припадам. Али ако... Опширније , али кривицу лежи у одбијању Фацебоока да крпи рањивост откривен пре више од годину дана.

Пријавите се за Фацебоок

У међувремену, будите пажљиви. Не кликајте непоуздане везе са страница које изгледају нежељено, нити прихватајте захтеве пријатеља од људи које не познајете. Фацебоок је такође објавио саопштење у коме пише:

„Ово је добро схваћено понашање. Програмери веб локација који користе Логин могу да спрече овај проблем тако што ће следити наше најбоље праксе и коришћењем „стања“ параметра који пружамо за ОАутх пријављивање. “

Охрабрујући.

Случај 1а: Ко ме је одбранио?

Остали корисници Фацебоока постају плен за још једну „услугу“ претходе крађу поверљивих података ОАутх-ове пријаве треће стране. Пријава за ОАутх дизајнирана је тако да заустави кориснике да уносе своју лозинку у било коју трећу апликацију или услугу, одржавајући зид безбедности.

Унфриенд Обавести

Услуге као што су УнфриендАлерт плени на појединце који покушавају да открију ко се одрекао њиховог пријатељства на мрежи, тражећи од појединаца да унесу акредитиве за пријаву - а затим их пошаљу директно на злонамерну локацију иоуготунфриендед.цом. УнфриендАлерт је класификован као потенцијално нежељени програм (ПУП), који намерно инсталира адваре и малваре.

Нажалост, Фацебоок не може у потпуности зауставити овакве услуге, па корисник на услузи остаје на опрезу а не пада на ствари за које се чини да су добре.

Случај 2: Гоогле Аппс грешка

Наша друга рањивост произишла је из грешке у руковању регистрацијама имена домена помоћу Гоогле Аппс-а. Ако сте икада регистровали веб локацију, знаћете да су име, адреса, адреса е-поште и друге важне приватне информације од суштинског значаја за процес. Након регистрације, свако ко има довољно времена може рун а Ко је да бисте пронашли ове јавне информације, осим ако током регистрације не поднесете захтев да лични подаци буду приватни. Ова функција обично долази по цени и потпуно је необавезна.

Пријавите се путем Гоогле-а

Они који региструју веб локације путем еНом-а и захтевајући приватног Ко је открио да су њихови подаци полако процурили током 18-месечног периода. Квар на софтверу, откривен 19. фебруаратх и укључени пет дана касније, пуштали су приватне податке сваки пут када се регистрација обнавља, потенцијално излажући приватне особе било којем броју проблема заштите података.

Вхоис Сеарцх

Приступ издању 282.000 масовних записа није лако. Нећете налетјети на њега на вебу. Али сада је то неизбрисива мана на Гоогле-овим резултатима и једнако је неизбрисива од великог броја Интернета. А ако чак 5%, 10% или 15% појединаца почне примати високо циљане, злонамерне е-маилове са копањем лажних копља, ово издаје балоне у велику главобољу података и за Гоогле и за еНом.

Случај 3: Споофед Ме

Ово је вишеструка рањивост мреже Ова рањивост утиче на сваку верзију оперативног система Виндовс - шта можете учинити у вези са тим.Шта бисте рекли да вам кажемо да на вашу верзију оперативног система Виндовс утиче рањивост која потиче из 1997. године? Назалост, ово је тацно. Мицрософт га једноставно никада није закрпио. Твој ред! Опширније омогућавајући хакеру да поново искористи системе за пријаву трећих страна које користе толико популарних веб локација. Хакер поставља захтев идентификованој рањивој услузи користећи е-адресу жртве, ону која је раније позната угроженом сервису. Хакер може потом да лажира податке о кориснику лажним налогом, добијајући приступ друштвеном налогу заједно са потврђеном верификацијом е-поште.

Нето безбедност

Да би овај хацк функционисао, веб локација треће стране мора подржати најмање једну другу пријаву на друштвеној мрежи помоћу другог добављача идентитета или могућност коришћења локалних личних акредитива. Слично је Фацебоок хаку, али виђен је на ширем спектру веб локација, укључујући Амазон, ЛинкедИн и МИДИГИПАСС између осталог, а потенцијално би се могли користити за пријаву на осетљиве сервисе злонамера.

То није промашај, то је одлика

Неке веб локације повезане са овим начином напада заправо нису допустиле да критична рањивост лети под радар: они су уграђени директно у систем Да ли вас подразумевана конфигурација рутера чини рањивом на хакере и преваре?Рутери ријетко стижу у сигурном стању, али чак и ако сте одвојили вријеме да исправно конфигуришете бежични (или ожичени) усмјеривач, и даље се може показати као слаба веза. Опширније . Један пример је Твиттер. Ванилла Твиттер је Добро, ако имате један налог. Једном када управљате више рачуна, за различите индустрије, приступате различитим публикама, потребна вам је апликација попут Хоотсуите-а или ТвеетДецк-а 6 слободних начина за заказивање твеетаКоришћење Твиттера заиста је овде и сада. Пронаћи ћете занимљив чланак, цоол слику, феноменалан видео или можда само желите да поделите нешто што сте управо схватили или помислили. Или ... Опширније .

Структура

Ове апликације комуницирају са Твиттером користећи веома сличан поступак пријављивања јер им је такође потребан директан приступ вашој друштвеној мрежи, а од корисника се тражи да дају исте дозволе. Ствара тежак сценариј за многе провајдере друштвених мрежа јер апликације трећих произвођача доносе толико у друштвену сферу, а истовремено стварају непријатности за безбедност и за корисника и за провајдера.

Окупити

Идентификовали смо три и помало рањивости на друштвеним пријавама које би сада требало да будете у стању да идентификујете и надамо се да их избегавате. Хакери на друштвеним пријавама неће се осушити преко ноћи. Тхе потенцијална исплата хакера 4 најбоље хакерске групе и шта желеЛако је замислити хакерске групе као неку врсту романтичних револуционара из залеђа. Али ко су они у ствари? За шта се они залажу и које нападе су извели у прошлости? Опширније је превелика и када компаније за масовну технологију, попут Фацебоока, одбијају да делују у најбољем интересу њихових корисника у основи отвара врата и пушта их да обришу ноге о приватности података простирка за врата.

Да ли је трећа страна угрозила ваш друштвени рачун? Шта се десило? Како сте се опоравили?

Кредитна слика:Бинарни код Виа Схуттерстоцк, Структура преко Пикабаи-а

Гавин је старији писац за МУО. Такође је уредник и СЕО менаџер за сестрино крипто фокусирано седиште МакеУсеОф, Блоцкс Децодед. Има БА (Хонс) савремено писање с дигиталним уметничким праксама које су провалиле из Девонских брда, као и више од деценије професионалног искуства у писању. Ужива у великим количинама чаја.