Содержание
Войти с Facebook. Войти с помощью Google. Веб-сайты регулярно используют наше желание с легкостью входить в систему, чтобы гарантировать, что мы посещаем, и чтобы они захватили кусок пирога персональных данных. Но какой ценой? Исследователь безопасности недавно обнаружил уязвимость в функции входа в систему с Facebook, обнаруженной на многих тысячах сайтов. Аналогичным образом, ошибка в интерфейсе доменного имени Google App открыла доступ для сотен тысяч частных лиц.
Это серьезные проблемы, с которыми сталкиваются два крупнейших домашних технологических имени. В то время как эти проблемы будут рассматриваться с соответствующей тревогой и исправлены уязвимости, достаточно ли осведомленности общественности? Давайте рассмотрим каждый случай и то, что он означает для вашей веб-безопасности.
Случай 1: Войти через Facebook
Уязвимость «Вход через Facebook» раскрывает ваши учетные записи, но не ваш действительный пароль Facebook, а также установленные вами сторонние приложения, такие как Bit.ly, Mashable, Vimeo, About.me и множество других.
Критический недостаток, обнаруженный Егором Хомаковым, исследователем безопасности Sakurity, позволяет хакерам злоупотреблять недосмотром кода Facebook. Недостаток связан с отсутствием соответствующей защиты от подделки межсайтовых запросов (CSFR) для трех разных процессов: входа в Facebook, выхода из Facebook и подключения сторонней учетной записи. Эта уязвимость, по сути, позволяет нежелательной стороне выполнять действия в аутентифицированной учетной записи. Вы можете понять, почему это будет серьезной проблемой.
Тем не менее, Facebook пока решил сделать очень мало для решения этой проблемы, поскольку это поставило бы под угрозу их собственную совместимость с огромным количеством сайтов. Третий вопрос может быть исправлен любым заинтересованным владельцем веб-сайта, но первые два лежат исключительно у двери Facebook.
Чтобы еще раз продемонстрировать отсутствие действий, предпринятых Facebook, Хомаков продвинул проблему дальше, выпустив хакерский инструмент под названием RECONNECT. Это использует ошибку, позволяя хакерам создавать и вставлять собственные URL-адреса, используемые для взлома учетных записей на сторонних сайтах. Хомакова можно назвать безответственным за выпуск инструмента
, но вина лежит прямо на отказе Facebook исправить уязвимость выявлено более года назад.
А пока оставайтесь бдительными. Не нажимайте ненадежные ссылки со страниц, выглядящих как спам, и не принимайте запросы на добавление в друзья от незнакомых вам людей. Facebook также опубликовал заявление, в котором говорится:
«Это хорошо понятое поведение. Разработчики сайтов, использующие Login, могут предотвратить эту проблему, следуя нашим рекомендациям и используя параметр «state», который мы предоставляем для OAuth Login ».
Поощряя.
Случай 1а: Кто подружился со мной?
Другие пользователи Facebook становятся жертвой другого «сервиса», который охотится на кражу учетных данных OAuth. Вход в систему OAuth предназначен для того, чтобы пользователи не могли вводить свой пароль в любое стороннее приложение или службу, поддерживая стену безопасности.
Такие службы, как UnfriendAlert, охотятся на людей, пытающихся выяснить, кто отказался от их онлайн-дружбы, просят людей ввести свои учетные данные для входа, а затем отправляют их прямо на вредоносный сайт yougotunfriended.com. UnfriendAlert классифицируется как Потенциально нежелательная программа (PUP), преднамеренно устанавливающая рекламное и вредоносное ПО.
К сожалению, Facebook не может полностью остановить подобные сервисы, поэтому пользователи сервиса должны сохранять бдительность и не поддаваться на то, что кажется правдой.
Случай 2: ошибка Google Apps
Наша вторая уязвимость связана с недостатком Google Apps в обработке регистраций доменных имен. Если вы когда-либо регистрировали веб-сайт, вы знаете, что предоставление вашего имени, адреса, адреса электронной почты и другой важной частной информации имеет важное значение для процесса. После регистрации любой, у кого достаточно времени, может запустить Whois для поиска этой общедоступной информации, если только вы не разместите запрос во время регистрации, чтобы сохранить ваши личные данные в секрете. Эта функция, как правило, предоставляется за дополнительную плату и является необязательной.
Те люди, которые регистрировали сайты через eNom и запрашивали частные Whois, обнаружили, что их данные медленно просачивались в течение 18 месяцев или около того. Дефект программного обеспечения, обнаруженный 19 февраля и закрытый пять дней спустя, каждый раз при обновлении регистрации просачивал личные данные, потенциально подвергая частных лиц любому количеству проблем защиты данных.
Доступ к 282 000 массовых записей не так прост. Вы не наткнетесь на это в Интернете. Но теперь это неизгладимый недостаток в послужном списке Google, и он одинаково неизгладим из-за обширных участков Интернета. И даже если 5%, 10% или 15% людей начнут получать вредоносные электронные письма с фишингом с высокой степенью адресности, это приведет к огромной головной боли для данных как для Google, так и для eNom.
Случай 3: подделал меня
Это множественная сетевая уязвимость
позволяя хакеру снова использовать стороннюю систему входа в систему, используемую многими популярными сайтами. Хакер размещает запрос в идентифицированной уязвимой службе, используя адрес электронной почты жертвы, который ранее был известен уязвимой службе. Затем хакер может подделать данные пользователя с помощью поддельной учетной записи, получив доступ к социальной учетной записи с подтвержденной проверкой электронной почты.
Чтобы этот хак сработал, сторонний сайт должен поддерживать хотя бы одну вход в социальную сеть, используя другого провайдера идентификации, или возможность использовать учетные данные локального личного сайта. Это похоже на взлом Facebook, но было замечено на более широком спектре веб-сайтов, включая Amazon, LinkedIn и MYDIGIPASS среди других, и потенциально может использоваться для входа в конфиденциальные сервисы со злонамеренным намерением.
Это не недостаток, это особенность
Некоторые сайты, вовлеченные в этот способ атаки, фактически не позволяют критической уязвимости пролететь под радаром: они встроены непосредственно в систему
, Одним из примеров является Twitter. Vanilla Twitter хорош, если у вас есть один аккаунт. Как только вы управляете несколькими учетными записями, для разных отраслей, подходя к широкому кругу аудиторий, вам необходимо приложение, такое как Hootsuite или TweetDeck.
,
Эти приложения взаимодействуют с Twitter, используя очень похожую процедуру входа в систему, поскольку им также требуется прямой доступ к вашей социальной сети, и пользователям предлагается предоставить те же разрешения. Это создает сложный сценарий для многих поставщиков социальных сетей, поскольку сторонние приложения приносят так много в социальную сферу, но при этом явно создают неудобства для безопасности как для пользователя, так и для поставщика.
Округлять
Мы определили три уязвимости при входе в социальную сеть, которые вы теперь сможете выявить и, надеюсь, избежать. Взломы в социальных сетях не исчезнут в одночасье. Потенциальная отдача для хакеров
слишком велико, и когда крупные технологические компании, такие как Facebook, отказываются действовать в интересах своих пользователей, это, по сути, открывает дверь и позволяет им вытереть ноги о коврик для секретности данных.
Был ли ваш социальный аккаунт взломан третьей стороной? Что случилось? Как вы поправились?
Кредит изображения: двоичный код через Shutterstock, структура через Pixabay