Как логины на сайтах Facebook и Google могут привести к краже данных

Войти с Facebook. Войти с помощью Google. Веб-сайты регулярно используют наше желание с легкостью входить в систему, чтобы гарантировать, что мы посещаем, и чтобы они захватили кусок пирога персональных данных. Но какой ценой? Исследователь безопасности недавно обнаружил уязвимость в функции входа в систему с Facebook, обнаруженной на многих тысячах сайтов. Аналогичным образом, ошибка в интерфейсе доменного имени Google App открыла доступ для сотен тысяч частных лиц.

Это серьезные проблемы, с которыми сталкиваются два крупнейших домашних технологических имени. В то время как эти проблемы будут рассматриваться с соответствующей тревогой и исправлены уязвимости, достаточно ли осведомленности общественности? Давайте рассмотрим каждый случай и то, что он означает для вашей веб-безопасности.

Случай 1: Войти через Facebook

Уязвимость «Вход через Facebook» раскрывает ваши учетные записи, но не ваш действительный пароль Facebook, а также установленные вами сторонние приложения, такие как Bit.ly, Mashable, Vimeo, About.me и множество других.

Критический недостаток, обнаруженный Егором Хомаковым, исследователем безопасности Sakurity, позволяет хакерам злоупотреблять недосмотром кода Facebook. Недостаток связан с отсутствием соответствующей защиты от подделки межсайтовых запросов (CSFR) для трех разных процессов: входа в Facebook, выхода из Facebook и подключения сторонней учетной записи. Эта уязвимость, по сути, позволяет нежелательной стороне выполнять действия в аутентифицированной учетной записи. Вы можете понять, почему это будет серьезной проблемой.

Ая-безопасность СМБЫ-пароль кража

Тем не менее, Facebook пока решил сделать очень мало для решения этой проблемы, поскольку это поставило бы под угрозу их собственную совместимость с огромным количеством сайтов. Третий вопрос может быть исправлен любым заинтересованным владельцем веб-сайта, но первые два лежат исключительно у двери Facebook.

Чтобы еще раз продемонстрировать отсутствие действий, предпринятых Facebook, Хомаков продвинул проблему дальше, выпустив хакерский инструмент под названием RECONNECT. Это использует ошибку, позволяя хакерам создавать и вставлять собственные URL-адреса, используемые для взлома учетных записей на сторонних сайтах. Хомакова можно назвать безответственным за выпуск инструмента

, но вина лежит прямо на отказе Facebook исправить уязвимость выявлено более года назад.

Войти на Facebook

А пока оставайтесь бдительными. Не нажимайте ненадежные ссылки со страниц, выглядящих как спам, и не принимайте запросы на добавление в друзья от незнакомых вам людей. Facebook также опубликовал заявление, в котором говорится:

«Это хорошо понятое поведение. Разработчики сайтов, использующие Login, могут предотвратить эту проблему, следуя нашим рекомендациям и используя параметр «state», который мы предоставляем для OAuth Login ».

Поощряя.

Случай 1а: Кто подружился со мной?

Другие пользователи Facebook становятся жертвой другого «сервиса», который охотится на кражу учетных данных OAuth. Вход в систему OAuth предназначен для того, чтобы пользователи не могли вводить свой пароль в любое стороннее приложение или службу, поддерживая стену безопасности.

Отменить уведомление

Такие службы, как UnfriendAlert, охотятся на лиц, пытающихся выяснить, кто отказался от их онлайн-дружбы, просят людей ввести свои учетные данные для входа и отправляют их прямо на вредоносный сайт yougotunfriended.com. UnfriendAlert классифицируется как Потенциально нежелательная программа (PUP), преднамеренно устанавливающая рекламное и вредоносное ПО.

К сожалению, Facebook не может полностью остановить подобные сервисы, поэтому пользователи сервиса должны сохранять бдительность и не поддаваться на то, что кажется правдой.

Случай 2: ошибка Google Apps

Наша вторая уязвимость связана с недостатком Google Apps в обработке регистраций доменных имен. Если вы когда-либо регистрировали веб-сайт, вы знаете, что предоставление вашего имени, адреса, адреса электронной почты и другой важной частной информации имеет важное значение для процесса. После регистрации любой, у кого достаточно времени, может запустить Whois для поиска этой общедоступной информации, если только вы не разместите запрос во время регистрации, чтобы сохранить ваши личные данные в секрете. Эта функция, как правило, предоставляется за дополнительную плату и является необязательной.

Войти через Google

Те люди, которые регистрировали сайты через eNom и запрашивали частные Whois, обнаружили, что их данные медленно просачивались в течение 18 месяцев или около того. Дефект программного обеспечения, обнаруженный 19 февраля и закрытый пять дней спустя, каждый раз при обновлении регистрации просачивал личные данные, потенциально подвергая частных лиц любому количеству проблем защиты данных.

Поиск Whois

Доступ к 282 000 массовых записей не так прост. Вы не наткнетесь на это в Интернете. Но теперь это неизгладимый недостаток в послужном списке Google, и он одинаково неизгладим из-за обширных участков Интернета. И даже если 5%, 10% или 15% людей начнут получать вредоносные электронные письма с фишингом с высокой степенью адресности, это приведет к огромной головной боли для данных как для Google, так и для eNom.

Случай 3: подделал меня

Это множественная сетевая уязвимость

позволяя хакеру снова использовать стороннюю систему входа в систему, используемую многими популярными сайтами. Хакер размещает запрос в идентифицированной уязвимой службе, используя адрес электронной почты жертвы, который ранее был известен уязвимой службе. Затем хакер может подделать данные пользователя с помощью поддельной учетной записи, получив доступ к социальной учетной записи с подтвержденной проверкой электронной почты.

Чистая безопасность

Чтобы этот хак сработал, сторонний сайт должен поддерживать хотя бы одну вход в социальную сеть, используя другого провайдера идентификации, или возможность использовать учетные данные локального личного сайта. Это похоже на взлом Facebook, но было замечено на более широком спектре веб-сайтов, включая Amazon, LinkedIn и MYDIGIPASS среди других, и потенциально может использоваться для входа в конфиденциальные сервисы со злонамеренным намерением.

Это не недостаток, это особенность

Некоторые сайты, вовлеченные в этот способ атаки, фактически не позволяют критической уязвимости пролететь под радаром: они встроены непосредственно в систему

, Одним из примеров является Twitter. Vanilla Twitter хорош, если у вас есть один аккаунт. Как только вы управляете несколькими учетными записями, для разных отраслей, подходя к широкому кругу аудиторий, вам необходимо приложение, такое как Hootsuite или TweetDeck.

,

Состав

Эти приложения взаимодействуют с Twitter, используя очень похожую процедуру входа в систему, поскольку им также требуется прямой доступ к вашей социальной сети, и пользователям предлагается предоставить те же разрешения. Это создает сложный сценарий для многих поставщиков социальных сетей, поскольку сторонние приложения приносят так много в социальную сферу, но при этом явно создают неудобства для безопасности как для пользователя, так и для поставщика.

Округлять

Мы определили три уязвимости при входе в социальную сеть, которые вы теперь сможете выявить и, надеюсь, избежать. Взломы в социальных сетях не исчезнут в одночасье. Потенциальная отдача для хакеров

слишком велико, и когда крупные технологические компании, такие как Facebook, отказываются действовать в интересах своих пользователей, это, по сути, открывает дверь и позволяет им вытереть ноги о коврик для секретности данных.

Был ли ваш социальный аккаунт взломан третьей стороной? Что случилось? Как вы поправились?

Кредит изображения: двоичный код через Shutterstock, структура через Pixabay

Ссылка на основную публикацию
Adblock
detector