Hur Facebook och Googles webbplatsinloggningar kan leda till datatycke
Logga in med Facebook. Logga in med Google. Hemsidor hävdar regelbundet vår önskan att logga in med lätthet för att säkerställa att vi besöker, och för att se till att de tar en skiva av personuppgifterna. Men till vilken kostnad? En säkerhetsforskare upptäckte nyligen en sårbarhet i Logga in med Facebook funktion som finns på tusentals webbplatser. På samma sätt exponerade ett fel i Google App-domännamngränssnittet hundratusentals privatpersoner privat data till allmänheten.
Det här är allvarliga problem som står inför två av de största hushållstekniska namnen. Även om dessa frågor kommer att behandlas med lämplig oro och sårbarheten patchas, är tillräcklig medvetenhet gett allmänheten? Låt oss titta på varje enskilt fall och vad det betyder för din webbsäkerhet.
Fall 1: Logga in med Facebook
Säkerhetslogget Logga in med Facebook avslöjar dina konton - men inte ditt faktiska Facebook-lösenord - och de tredje partens program du har installerat, t.ex. Bit.ly, Mashable, Vimeo, About.me, och värd för andra.
Den kritiska fel som upptäckts av Egor Homakov, säkerhetsforskare för Sakurity, tillåter hackare att missbruka en övervakning i Facebook-koden. Felet härrör från brist på lämplig Cross-Site Request Forgery (CSFR) skydd för tre olika processer: Facebook Login, Facebook Logga ut och Tredjeparts Kontoanslutning. Sårbarheten tillåter i huvudsak en oönskad part att utföra handlingar inom ett autentiserat konto. Du kan se varför detta skulle vara ett viktigt problem.
Ändå har Facebook valt att göra mycket lite för att ta itu med problemet eftersom det skulle äventyra sin egen kompatibilitet med ett stort antal webbplatser. Den tredje frågan kan fastställas av någon berörda webbplatsägare, men de två första ligger exklusivt på Facebook-dörren.
För att ytterligare exemplifiera bristen på åtgärder som gjorts av Facebook har Homakov drivit frågan vidare genom att släppa ett hackersverktyg som heter RECONNECT. Detta utnyttjar felet och låter hackare skapa och infoga anpassade webbadresser som används för att kapabla konton på webbplatser från tredje part. Homakov kan kallas oansvarigt för att släppa verktyget Vad är skillnaden mellan en bra hackare och en dålig hackare? [Yttrande] Vad är skillnaden mellan en bra hacker och en dålig hacker? [Yttrande] Vi hyser nu och då något i nyheterna om hackare som tar ner platser, utnyttjar en mängd program eller hotar att vika sig in i högsäkerhetsområden där de inte borde höra. Men om ... Läs mer, men skulden ligger helt och hållet med Facebook: s vägran att lappa sårbarheten kom till ljus över ett år sedan.
Under tiden förbli vaksamma. Klicka inte på otillförlitliga länkar från spammy-sidor eller acceptera vänförfrågningar från personer du inte känner till. Facebook har också släppt ett uttalande som säger:
“Detta är ett välförståeligt beteende. Webbplatsutvecklare som använder inloggning kan förhindra detta problem genom att följa våra bästa praxis och använda parametern "state" som vi tillhandahåller för OAuth Login.”
Uppmuntrande.
Fall 1a: Vem unfriended Me?
Andra Facebook-användare faller byte mot en annan “service” preying på tredje parts OAuth login credential stöld. OAuth-inloggningen är utformad för att stoppa användarna att skriva in sitt lösenord till någon tredjepartsapplikation eller -tjänst, behålla säkerhetsväggen.
Tjänster som UnfriendAlert ropa på individer som försöker upptäcka vem som har avstått från sin online-vänskap, fråga enskilda om att ange sina inloggningsuppgifter - sedan skicka dem direkt till skadliga webbplatsen yougotunfriended.com. UnfriendAlert klassificeras som ett potentiellt oönskade program (PUP), avsiktligt att installera adware och skadlig kod.
Tyvärr kan Facebook inte helt stoppa tjänster som detta, så det är på användarnas användare att vara vaksamma och faller inte för saker som verkar bra att vara sanna.
Fall 2: Google Apps Bug
Vår andra sårbarhet härrör från en felaktig hantering av domännamnsregistreringar i Google Apps. Om du någonsin har registrerat en webbplats vet du att ditt namn, adress, e-postadress och andra viktiga privata uppgifter är avgörande för processen. Efter registrering kan alla som har tillräckligt med tid springa a Vem är för att hitta denna offentliga information, om du inte ställer en förfrågan under registrering för att hålla dina personuppgifter privat. Denna funktion kommer vanligtvis till en kostnad, och är helt valfri.
De personer som registrerar webbplatser via eNom och begära en privat Whois hittade deras data hade långsamt läckt under en 18-månaders-eller-så-period. Programvarufelet, som upptäcktes den 19 februarith och kopplade fem dagar senare, läckte privata data varje gång en registrering förnyades, vilket potentiellt utsatte privatpersoner för alla typer av dataskyddsproblem.
Att få tillgång till 282 000 bulkreklam är inte lätt. Du kommer inte att snubbla över den på webben. Men det är nu en outplånlig fläck på Googles bankkort och är lika outplånlig från de stora svängarna på Internet. Och om till och med 5%, 10% eller 15% av individerna börjar ta emot mycket riktade, skadliga spjutfiskfiske-e-postmeddelanden, utmanar ballonger till en stor datahuvudvärk för både Google och eNom.
Fall 3: Spoofed Me
Detta är ett sårbarhetsproblem för flera nätverk Varje version av Windows påverkas av denna säkerhetsproblem. Vad du kan göra om det. Varje version av Windows påverkas av denna sårbarhet - vad du kan göra åt det. Vad skulle du säga om vi sa att din version av Windows påverkas av en sårbarhet som går tillbaka till 1997? Tyvärr är detta sant. Microsoft patchade aldrig helt enkelt det. Din tur! Läs mer så att en hackare kan utnyttja tredjepartssignalsystem som utnyttjas av så många populära webbplatser igen. Hackern ställer en begäran med en identifierad sårbar tjänst med hjälp av offrets e-postadress, en som tidigare är känd för den utsatta tjänsten. Hackaren kan sedan spionera användarens detaljer med det falska kontot, få tillgång till det sociala kontot kompletterat med bekräftad e-postbekräftelse.
För att detta hack ska fungera måste tredjepartswebbplatsen stödja minst ett annat socialt nätverksinloggning med en annan identitetsleverantör eller möjligheten att använda lokala personliga webbplatsuppgifter. Det liknar Facebook-hack men har blivit sett på ett större antal webbplatser, bland annat Amazon, LinkedIn och MYDIGIPASS, bland annat, och kan eventuellt användas för att logga in på känsliga tjänster med ondskanlig avsikt.
Det är inte en fel, det är en funktion
Några av de platser som är involverade i detta angreppssätt har faktiskt inte låt en kritisk sårbarhet flyga under radarn: de är byggda direkt i systemet Gör din standardruterkonfiguration sårbar för hackare och svindlare? Gör din standardruterkonfiguration sårbar för hackare och svindlare? Routrar kommer sällan i ett säkert tillstånd, men även om du har tagit dig tid att konfigurera din trådlösa (eller trådbundna) router korrekt, kan det fortfarande visa sig vara den svaga länken. Läs mer . Ett exempel är Twitter. Vanilla Twitter är Bra, om du har ett konto När du hanterar flera konton, för olika branscher, närmar sig en rad publikgrupper, behöver du en applikation som Hootsuite eller TweetDeck 6 gratis sätt att schemalägga tweets 6 gratis sätt att schemalägga tweets Använda Twitter handlar verkligen om här och nu. Du hittar en intressant artikel, en cool bild, en fantastisk video, eller kanske du bara vill dela något du just har insåg eller tänkt på. Antingen ... Läs mer .
Dessa applikationer kommunicerar med Twitter med ett mycket liknande inloggningsförfarande eftersom de också behöver direkt åtkomst till ditt sociala nätverk, och användarna uppmanas att ge samma behörigheter. Det skapar ett svårt scenario för många leverantörer av sociala nätverk, eftersom program från tredje part ger så mycket till den sociala sfären, men skapar ändå tydliga säkerhetsproblem för både användare och leverantörer.
Runda upp
Vi har identifierat tre-och-a-bit sociala inloggningssårigheter du borde nu kunna identifiera och förhoppningsvis undvika. Sociala inloggningshackar kommer inte att torka upp över natten. Den potentiella utbetalningen för hackare 4 Top Hacker Groups och vad de vill ha 4 Topp Hacker-grupper och vad de vill Det är lätt att tänka på hackergrupper som en slags romantiska rumsrevolutionärer. Men vem är de egentligen? Vad står de för, och vilka attacker har de utfört tidigare? Läs mer är för stor, och när massiva teknologier som Facebook vägrar att agera i användarnas bästa, öppnar det i princip dörren och låter dem torka sina fötter på datasäkerhetsdörrmatta.
Har ditt sociala konto påverkats av en tredje part? Vad hände? Hur återhämtade du dig??
Bildkredit: binär kod Via Shutterstock, struktur via Pixabay
Utforska mer om: Facebook, Online Privacy, Online Security.