Διαφήμιση

Σύνδεση με το Facebook. Συνδεθείτε με το Google. Οι ιστότοποι αξιοποιούν τακτικά την επιθυμία μας να συνδεθούμε με ευκολία για να διασφαλίσουμε την επίσκεψή μας και για να διασφαλίσουμε ότι θα πάρουν ένα κομμάτι της προσωπικής πίτας δεδομένων. Αλλά με ποιο κόστος; Ένας ερευνητής ασφάλειας ανακάλυψε πρόσφατα μια ευπάθεια στο Σύνδεση με το Facebook δυνατότητα που βρέθηκε σε πολλές χιλιάδες ιστότοπους. Παρομοίως, ένα σφάλμα στη διεπαφή ονόματος τομέα της Εφαρμογής Google εξέθεσε στο κοινό εκατοντάδες χιλιάδες ιδιωτικά δεδομένα.

Πρόκειται για σοβαρά ζητήματα που αντιμετωπίζουν δύο από τα μεγαλύτερα ονόματα τεχνολογίας των νοικοκυριών. Ενώ αυτά τα ζητήματα θα αντιμετωπιστούν με την κατάλληλη ανησυχία και τα τρωτά σημεία διορθωθούν, είναι αρκετή η ενημέρωση του κοινού; Ας δούμε κάθε περίπτωση και τι σημαίνει για την ασφάλεια του ιστού σας.

Περίπτωση 1: Σύνδεση με Facebook

Η ευπάθεια σύνδεσης με το Facebook εκθέτει τους λογαριασμούς σας - αλλά όχι τον πραγματικό κωδικό πρόσβασής σας στο Facebook - και τις εφαρμογές τρίτων που έχετε εγκαταστήσει, όπως

instagram viewer
Bit.ly, Mashable, Vimeo, About.me, και πλήθος άλλων.

Το κρίσιμο ελάττωμα, που ανακαλύφθηκε από τον Egor Homakov, ερευνητή ασφάλειας για την ασφάλεια, επιτρέπει στους χάκερ να κάνουν κατάχρηση μιας εποπτείας στον κώδικα του Facebook. Το ελάττωμα οφείλεται στην έλλειψη κατάλληλου Συγχώνευση αιτήσεων μεταξύ ιστότοπων (CSFR) προστασία για τρεις διαφορετικές διαδικασίες: Σύνδεση Facebook, Αποσύνδεση Facebook και Σύνδεση λογαριασμού τρίτου μέρους. Η ευπάθεια ουσιαστικά επιτρέπει σε ένα ανεπιθύμητο μέρος να εκτελεί ενέργειες εντός ενός πιστοποιημένου λογαριασμού. Μπορείτε να δείτε γιατί αυτό θα ήταν ένα σημαντικό ζήτημα.

muo-security-smb-password-κλοπή

Ωστόσο, το Facebook, μέχρι στιγμής, έχει επιλέξει να κάνει πολύ λίγα για να αντιμετωπίσει το ζήτημα, καθώς θα έθετε σε κίνδυνο τη δική τους συμβατότητα με μεγάλο αριθμό ιστότοπων. Το τρίτο ζήτημα μπορεί να επιλυθεί από οποιονδήποτε ενδιαφερόμενο κάτοχο ιστότοπου, αλλά τα δύο πρώτα βρίσκονται αποκλειστικά στην πόρτα του Facebook.

Για να δείξει περαιτέρω την έλλειψη δράσης που έκανε το Facebook, ο Homakov προώθησε το ζήτημα περαιτέρω απελευθερώνοντας ένα εργαλείο χάκερ με το όνομα RECONNECT. Αυτό εκμεταλλεύεται το σφάλμα, επιτρέποντας στους εισβολείς να δημιουργούν και να εισάγουν προσαρμοσμένες διευθύνσεις URL που χρησιμοποιούνται για την παραβίαση λογαριασμών σε ιστότοπους τρίτων. Ο Homakov θα μπορούσε να κληθεί ανεύθυνη για την απελευθέρωση του εργαλείου Ποια είναι η διαφορά μεταξύ ενός καλού χάκερ και ενός κακού χάκερ; [Γνώμη]Κάθε τόσο, ακούμε κάτι στις ειδήσεις σχετικά με τους χάκερ που καταργούν ιστότοπους, εκμεταλλεύονται ένα πλήθος προγραμμάτων, ή που απειλούν να κουνήσουν το δρόμο τους σε περιοχές υψηλής ασφάλειας όπου αυτοί δεν πρέπει να ανήκουν. Αλλα αν... Διαβάστε περισσότερα , αλλά η ευθύνη έγκειται στην άρνηση του Facebook να διορθώσει την ευπάθεια εμφανίστηκε πριν από ένα χρόνο.

Συνδεθείτε στο Facebook

Εν τω μεταξύ, παραμείνετε σε εγρήγορση. Μην κάνετε κλικ σε μη αξιόπιστους συνδέσμους από σελίδες με ανεπιθύμητο περιεχόμενο και μην δέχεστε αιτήματα φιλίας από άτομα που δεν γνωρίζετε. Το Facebook δημοσίευσε επίσης μια δήλωση λέγοντας:

«Αυτή είναι μια καλά κατανοητή συμπεριφορά. Οι προγραμματιστές ιστότοπων που χρησιμοποιούν τη σύνδεση μπορούν να αποτρέψουν αυτό το ζήτημα ακολουθώντας τις βέλτιστες πρακτικές μας και χρησιμοποιώντας την παράμετρο "κατάσταση" που παρέχουμε για τη σύνδεση OAuth. "

Ενθαρρυντικό.

Περίπτωση 1α: Ποιος με φίλεψε;

Άλλοι χρήστες του Facebook πέφτουν θύματα μιας άλλης «υπηρεσίας» που λυμαίνονται κλοπή διαπιστευτηρίων σύνδεσης OAuth τρίτων. Η σύνδεση OAuth έχει σχεδιαστεί για να εμποδίζει τους χρήστες να εισάγουν τον κωδικό πρόσβασής τους σε οποιαδήποτε εφαρμογή ή υπηρεσία τρίτου μέρους, διατηρώντας το τείχος της ασφάλειας.

Ειδοποίηση φίλου

Υπηρεσίες όπως UnfriendAlert θήραμα για άτομα που προσπαθούν να ανακαλύψουν ποιος έχει παραιτηθεί από τη διαδικτυακή τους φιλία, ζητώντας από άτομα να εισάγουν τα διαπιστευτήριά τους - και στη συνέχεια να τα στέλνουν κατευθείαν σε κακόβουλο ιστότοπο yougotunfriended.com. Το UnfriendAlert κατατάσσεται ως δυνητικά ανεπιθύμητο πρόγραμμα (PUP), εγκαθιστώντας σκόπιμα adware και κακόβουλο λογισμικό.

Δυστυχώς, το Facebook δεν μπορεί να σταματήσει εντελώς τέτοιες υπηρεσίες, οπότε το βάρος είναι οι χρήστες των υπηρεσιών να παραμείνουν σε εγρήγορση και να μην πέσει για πράγματα που φαίνονται καλά να είναι αληθινά.

Περίπτωση 2: Σφάλμα Εφαρμογών Google

Η δεύτερη ευπάθεια μας οφείλεται σε ένα ελάττωμα στον χειρισμό των καταχωρίσεων ονομάτων τομέα από τις Εφαρμογές Google. Εάν έχετε καταχωρίσει ποτέ έναν ιστότοπο, θα γνωρίζετε ότι η παροχή του ονόματος, της διεύθυνσης, της διεύθυνσης ηλεκτρονικού ταχυδρομείου και άλλων σημαντικών προσωπικών πληροφοριών είναι απαραίτητη για τη διαδικασία. Μετά την εγγραφή, οποιοσδήποτε έχει αρκετό χρόνο μπορεί εκτελέστε ένα Ποιος είναι για να βρείτε αυτές τις δημόσιες πληροφορίες, εκτός εάν υποβάλλετε αίτημα κατά την εγγραφή για να διατηρήσετε τα προσωπικά σας δεδομένα απόρρητα. Αυτή η δυνατότητα συνήθως διατίθεται με κόστος και είναι εντελώς προαιρετική.

Συνδεθείτε με το Google

Τα άτομα που εγγράφουν ιστότοπους μέσω του eNom και ζητώντας από έναν ιδιωτικό Whois ότι τα δεδομένα τους είχαν διαρρεύσει σιγά-σιγά σε διάστημα 18 μηνών. Το ελάττωμα του λογισμικού, που ανακαλύφθηκε στις 19 Φεβρουαρίουου και συνδέθηκε πέντε ημέρες αργότερα, διέρρευσαν ιδιωτικά δεδομένα κάθε φορά που μια εγγραφή ανανεώθηκε, εκθέτοντας δυνητικά ιδιώτες σε οποιοδήποτε αριθμό ζητημάτων προστασίας δεδομένων.

Αναζήτηση Whois

Δεν είναι εύκολη η πρόσβαση στα 282.000 μαζικά αρχεία. Δεν θα το σκοντάψετε στον ιστό. Αλλά είναι πλέον μια ανεξίτηλη βλάβη στο ιστορικό της Google και είναι εξίσου ανεξίτηλη από τις τεράστιες περιοχές του Διαδικτύου. Και αν ακόμη και το 5%, το 10% ή το 15% των ατόμων αρχίσουν να λαμβάνουν πολύ στοχευμένα, κακόβουλα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος, αυτό εκδίδει μπαλόνια σε έναν μεγάλο πονοκέφαλο δεδομένων τόσο για την Google όσο και για το eNom.

Περίπτωση 3: Spoofed Me

Αυτό είναι ένα πολλαπλή ευπάθεια δικτύου Κάθε έκδοση των Windows επηρεάζεται από αυτήν την ευπάθεια - Τι μπορείτε να κάνετε για αυτό.Τι θα λέγατε αν σας είπαμε ότι η έκδοση των Windows σας επηρεάζεται από μια ευπάθεια που χρονολογείται από το 1997; Δυστυχώς, αυτό ισχύει. Η Microsoft απλά δεν το επιδιόρθωσε ποτέ. Σειρά σου! Διαβάστε περισσότερα επιτρέποντας σε έναν χάκερ να εκμεταλλευτεί ξανά τα συστήματα σύνδεσης τρίτων που αξιοποιούνται από τόσους δημοφιλείς ιστότοπους. Ο εισβολέας υποβάλλει ένα αίτημα με μια αναγνωρισμένη ευάλωτη υπηρεσία χρησιμοποιώντας τη διεύθυνση email του θύματος, μια που ήταν προηγουμένως γνωστή στην ευάλωτη υπηρεσία. Ο εισβολέας μπορεί στη συνέχεια να πλαστογραφήσει τα στοιχεία του χρήστη με τον ψεύτικο λογαριασμό, αποκτώντας πρόσβαση στον κοινωνικό λογαριασμό με επιβεβαιωμένη επαλήθευση email.

Καθαρή ασφάλεια

Για να λειτουργήσει αυτή η παραβίαση, ο ιστότοπος τρίτου μέρους πρέπει να υποστηρίζει τουλάχιστον ένα άλλο σύστημα σύνδεσης κοινωνικού δικτύου χρησιμοποιώντας άλλον πάροχο ταυτότητας ή τη δυνατότητα χρήσης τοπικών προσωπικών διαπιστευτηρίων ιστότοπου. Είναι παρόμοιο με το hack του Facebook, αλλά έχει παρατηρηθεί σε ένα ευρύτερο φάσμα ιστότοπων, συμπεριλαμβανομένου του Amazon, Το LinkedIn και το MYDIGIPASS, μεταξύ άλλων, και θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για τη σύνδεση σε ευαίσθητες υπηρεσίες με κακόβουλη πρόθεση.

Δεν είναι ένα ελάττωμα, είναι ένα χαρακτηριστικό

Ορισμένοι από τους ιστότοπους που εμπλέκονται σε αυτόν τον τρόπο επίθεσης δεν έχουν αφήσει μια κρίσιμη ευπάθεια να πέσει κάτω από το ραντάρ: είναι ενσωματωμένο απευθείας στο σύστημα Η προεπιλεγμένη διαμόρφωση του δρομολογητή σας καθιστά ευάλωτο σε χάκερ και απατεώνες;Οι δρομολογητές σπάνια φτάνουν σε ασφαλή κατάσταση, αλλά ακόμη και αν έχετε αφιερώσει χρόνο για να ρυθμίσετε σωστά τον ασύρματο (ή ενσύρματο) δρομολογητή σας, μπορεί ακόμα να αποδειχθεί ο αδύναμος σύνδεσμος. Διαβάστε περισσότερα . Ένα παράδειγμα είναι το Twitter. Το Vanilla Twitter είναι Καλός, εάν έχετε έναν λογαριασμό. Μόλις διαχειρίζεστε πολλούς λογαριασμούς, για διαφορετικούς κλάδους, πλησιάζοντας ένα ευρύ κοινό, χρειάζεστε μια εφαρμογή όπως το Hootsuite ή το TweetDeck 6 δωρεάν τρόποι προγραμματισμού TweetsΗ χρήση του Twitter είναι πραγματικά εδώ και τώρα. Βρείτε ένα ενδιαφέρον άρθρο, μια ωραία εικόνα, ένα καταπληκτικό βίντεο ή ίσως απλά θέλετε να μοιραστείτε κάτι που μόλις συνειδητοποιήσατε ή σκεφτήκατε. Είτε... Διαβάστε περισσότερα .

Δομή

Αυτές οι εφαρμογές επικοινωνούν με το Twitter χρησιμοποιώντας μια πολύ παρόμοια διαδικασία σύνδεσης καθώς χρειάζονται επίσης άμεση πρόσβαση στο κοινωνικό σας δίκτυο και οι χρήστες καλούνται να παρέχουν τα ίδια δικαιώματα. Δημιουργεί ένα δύσκολο σενάριο για πολλούς παρόχους κοινωνικών δικτύων, καθώς οι εφαρμογές τρίτων μερών φέρνουν τόσα πολλά στην κοινωνική σφαίρα, αλλά δημιουργούν σαφώς τα προβλήματα ασφαλείας τόσο για τον χρήστη όσο και για τον πάροχο.

Μάνδρισμα ζώων

Έχουμε εντοπίσει τρισδιάστατες ευπάθειες κοινωνικής εισόδου που πρέπει τώρα να μπορείτε να αναγνωρίσετε και ελπίζουμε να αποφύγετε. Οι εισβολές σύνδεσης στα κοινωνικά δίκτυα δεν πρόκειται να στεγνώσουν τη νύχτα. ο πιθανή αποπληρωμή για χάκερ 4 κορυφαίες ομάδες χάκερ και τι θέλουνΕίναι εύκολο να σκεφτείτε τις ομάδες χάκερ ως ένα είδος ρομαντικών επαναστατών στο δωμάτιο. Αλλά ποιοι είναι πραγματικά; Τι αντιπροσωπεύουν και ποιες επιθέσεις έχουν πραγματοποιήσει στο παρελθόν; Διαβάστε περισσότερα είναι πάρα πολύ μεγάλο και όταν εταιρείες μαζικής τεχνολογίας όπως το Facebook αρνούνται να ενεργήσουν προς το συμφέρον των χρηστών τους, ουσιαστικά ανοίγει την πόρτα και τους αφήνει να σκουπίσουν το απόρρητο των δεδομένων πόρτα.

Έχει παραβιαστεί ο κοινωνικός λογαριασμός σας από τρίτο μέρος; Τι συνέβη? Πώς ανακάμψατε;

Πιστωτική εικόνα:δυάδικος κώδικας Μέσω του Shutterstock, Δομή μέσω Pixabay

Ο Gavin είναι ανώτερος συγγραφέας για το MUO. Είναι επίσης ο Επεξεργαστής και ο Διαχειριστής SEO για την αδελφή ιστοσελίδα του MakeUseOf, Blocks Decoded. Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι.