Hur Facebook och Googles webbplatsinloggningar kan leda till datatycke

Logga in med Facebook. Logga in med Google. Hemsidor utnyttjar vår önskan att logga in med lätthet, men till vilken kostnad? Sårbarheter med populära webbplatser inloggningssystem av Google och Facebook har väckt säkerhetsproblem.

Logga in med Facebook.  Logga in med Google.  Hemsidor utnyttjar vår önskan att logga in med lätthet, men till vilken kostnad?  Sårbarheter med populära webbplatser inloggningssystem av Google och Facebook har väckt säkerhetsproblem.
Annons

Logga in med Facebook. Logga in med Google. Hemsidor hävdar regelbundet vår önskan att logga in med lätthet för att säkerställa att vi besöker, och för att se till att de tar en skiva av personuppgifterna. Men till vilken kostnad? En säkerhetsforskare upptäckte nyligen en sårbarhet i funktionen Login with Facebook som finns på tusentals webbplatser. På samma sätt exponerade ett fel i Google App-domännamngränssnittet hundratusentals privatpersoner privat data till allmänheten.

Det här är allvarliga problem som står inför två av de största hushållstekniska namnen. Även om dessa frågor kommer att behandlas med lämplig oro och sårbarheten patchas, är tillräcklig medvetenhet gett allmänheten? Låt oss titta på varje enskilt fall och vad det betyder för din webbsäkerhet.

Fall 1: Logga in med Facebook

Inloggningen med Facebook-sårbarhet exponerar dina konton - men inte ditt faktiska Facebook-lösenord - och program från tredje part som du har installerat, som Bit.ly, Mashable, Vimeo, About.me och värd för andra.

Den kritiska fel som upptäckts av Egor Homakov, säkerhetsforskare för Sakurity, tillåter hackare att missbruka en övervakning i Facebook-koden. Felet härrör från brist på lämpligt skydd mot korrosionsskydd ( Cross-Site Request Forgery ) för tre olika processer: Facebook-inloggning, Facebook-loggning och Tredjeparts kontoanslutning. Sårbarheten tillåter i huvudsak en oönskad part att utföra handlingar inom ett autentiserat konto. Du kan se varför detta skulle vara ett viktigt problem.

Muo-security-SMB-lösenord-stöld

Ändå har Facebook valt att göra mycket lite för att ta itu med problemet eftersom det skulle äventyra sin egen kompatibilitet med ett stort antal webbplatser. Den tredje frågan kan fastställas av någon berörda webbplatsägare, men de två första ligger exklusivt på Facebook-dörren.

För att ytterligare exemplifiera bristen på åtgärder som gjorts av Facebook har Homakov drivit problemet ytterligare genom att släppa ett hackersverktyg som heter RECONNECT. Detta utnyttjar felet och låter hackare skapa och infoga anpassade webbadresser som används för att kapabla konton på webbplatser från tredje part. Homakov kan kallas oansvarigt för att släppa verktyget Vad är skillnaden mellan en bra hackare och en dålig hackare? [Yttrande] Vad är skillnaden mellan en bra hacker och en dålig hacker? [Yttrande] Vi hyser nu och då något i nyheterna om hackare som tar ner platser, utnyttjar en mängd program eller hotar att vika sig in i högsäkerhetsområden där de inte borde höra. Men om ... Läs mer, men skulden ligger helt och hållet med Facebook: s vägran att lappa sårbarheten som uppstått över ett år sedan .

Logga in på Facebook

Under tiden förbli vaksamma. Klicka inte på otillförlitliga länkar från spammy-sidor eller acceptera vänförfrågningar från personer du inte känner till. Facebook har också släppt ett uttalande som säger:

"Detta är ett välförståeligt beteende. Webbplatsutvecklare som använder inloggning kan förhindra detta problem genom att följa våra bästa praxis och använda parametern "state" som vi tillhandahåller för OAuth Login. "

Uppmuntrande.

Fall 1a: Vem oförskämde mig?

Andra Facebook-användare faller byte för en annan "tjänst" som preying på tredje parts OAuth login credentials stöld. OAuth-inloggningen är utformad för att stoppa användarna att skriva in sitt lösenord till någon tredjepartsapplikation eller -tjänst, behålla säkerhetsväggen.

Unfriend Meddela

Tjänster som UnfriendAlert byte på personer som försöker upptäcka vem som har avstått från sin vänskap på nätet, uppmanar individer att ange sina inloggningsuppgifter - sedan skicka dem direkt till skadliga webbplats yougotunfriended.com . UnfriendAlert klassificeras som ett potentiellt oönskade program (PUP), avsiktligt att installera adware och malware.

Tyvärr kan Facebook inte helt stoppa tjänster som detta, så det är på användarnas användare att vara vaksam och inte falla för saker som verkar bra att vara sanna.

Fall 2: Google Apps Bug

Vår andra sårbarhet härrör från en felaktig hantering av domännamnsregistreringar i Google Apps. Om du någonsin har registrerat en webbplats vet du att ditt namn, adress, e-postadress och andra viktiga privata uppgifter är avgörande för processen. Efter registrering kan alla som har tillräckligt med tid driva en Whois för att hitta den här offentliga informationen, om du inte ställer en förfrågan under registrering för att hålla dina personuppgifter privat. Denna funktion kommer vanligtvis till en kostnad, och är helt valfri.

Logga in med Google

De personer som registrerade webbplatser via eNom och begärde en privat Whois hittade deras data hade långsamt läckt under en 18-månadersperiod. Programvarufelet, som upptäcktes den 19 februari och kopplades fem dagar senare, läckte privata data varje gång en registrering förnyades, vilket potentiellt utsatte privatpersoner för ett antal problem med dataskydd.

Whois Search

Att få tillgång till 282 000 bulkreklam är inte lätt. Du kommer inte att snubbla över den på webben. Men det är nu en outplånlig fläck på Googles bankkort och är lika outplånlig från de stora svängarna på Internet. Och om till och med 5%, 10% eller 15% av individerna börjar ta emot mycket riktade e-postmeddelanden med illamående spionfiske, så utmanar ballonger till en stor datahuvudvärk för både Google och eNom.

Fall 3: Spoofed Me

Detta är ett sårbarhetsproblem för flera nätverk Varje version av Windows påverkas av denna säkerhetsproblem. Vad du kan göra om det. Varje version av Windows påverkas av denna sårbarhet - vad du kan göra åt det. Vad skulle du säga om vi sa att din version av Windows påverkas av en sårbarhet som går tillbaka till 1997? Tyvärr är detta sant. Microsoft patchade aldrig helt enkelt det. Din tur! Läs mer så att en hackare kan utnyttja tredjepartssignalsystem som utnyttjas av så många populära webbplatser igen. Hackern ställer en begäran med en identifierad sårbar tjänst med hjälp av offrets e-postadress, en som tidigare är känd för den utsatta tjänsten. Hackaren kan sedan spionera användarens detaljer med det falska kontot, få tillgång till det sociala kontot kompletterat med bekräftad e-postbekräftelse.

Nätverkssäkerhet

För att detta hack ska fungera måste tredjepartswebbplatsen stödja minst ett annat socialt nätverksinloggning med en annan identitetsleverantör eller möjligheten att använda lokala personliga webbplatsuppgifter. Det liknar Facebook hack, men har blivit sett på ett större antal webbplatser, bland annat Amazon, LinkedIn och MYDIGIPASS, bland annat, och kan eventuellt användas för att logga in på känsliga tjänster med ondskanlig avsikt.

Det är inte en fel, det är en funktion

Några av de platser som är involverade i detta angreppssätt har faktiskt inte låt en kritisk sårbarhet flyga under radarn: de är byggda direkt i systemet Gör din standardruterkonfiguration sårbar för hackare och svindlare? Gör din standardruterkonfiguration sårbar för hackare och svindlare? Routrar kommer sällan i ett säkert tillstånd, men även om du har tagit dig tid att konfigurera din trådlösa (eller trådbundna) router korrekt, kan det fortfarande visa sig vara den svaga länken. Läs mer . Ett exempel är Twitter. Vanilla Twitter är bra, om du har ett konto. När du hanterar flera konton, för olika branscher, närmar sig en rad publikgrupper, behöver du en applikation som Hootsuite eller TweetDeck 6 gratis sätt att schemalägga tweets 6 gratis sätt att schemalägga tweets Använda Twitter handlar verkligen om här och nu. Du hittar en intressant artikel, en cool bild, en fantastisk video, eller kanske du bara vill dela något du just har insåg eller tänkt på. Antingen ... Läs mer.

Strukturera

Dessa applikationer kommunicerar med Twitter med ett mycket liknande inloggningsförfarande eftersom de också behöver direkt åtkomst till ditt sociala nätverk, och användarna uppmanas att ge samma behörigheter. Det skapar ett svårt scenario för många leverantörer av sociala nätverk, eftersom program från tredje part ger så mycket till den sociala sfären, men skapar ändå tydliga säkerhetsproblem för både användare och leverantörer.

Runda upp

Vi har identifierat tre-och-a-bit sociala inloggningssårigheter du borde nu kunna identifiera och förhoppningsvis undvika. Sociala inloggningshackar kommer inte att torka upp över natten. Den potentiella utbetalningen för hackare 4 Top Hacker Groups och vad de vill ha 4 Topp Hacker-grupper och vad de vill Det är lätt att tänka på hackergrupper som en slags romantiska rumsrevolutionärer. Men vem är de egentligen? Vad står de för, och vilka attacker har de utfört tidigare? Läs mer är för bra, och när massiva teknologibolag som Facebook vägrar att agera för användarnas bästa, öppnar de i princip dörren och låter dem torka sina fötter på datasäkerhetsdörrmatningen.

Har ditt sociala konto påverkats av en tredje part? Vad hände? Hur återhämtade du dig?

Bildkredit: binär kod Via Shutterstock, struktur via Pixabay

In this article