Hoe aanmeldingen van Facebook en Google-websites tot gegevensdiefstal kunnen leiden
Inloggen met Facebook. Inloggen met Google. Websites maken vaak gebruik van onze wens om gemakkelijk in te loggen om ervoor te zorgen dat we ze bezoeken en ervoor te zorgen dat ze een deel van de persoonlijke gegevens halen. Maar tegen welke prijs? Een beveiligingsonderzoeker heeft recent een kwetsbaarheid ontdekt in de Inloggen met Facebook functie gevonden op vele duizenden sites. Op dezelfde manier heeft een bug in de Google Apps-domeinnaaminterface honderdduizenden privégegevens aan het publiek getoond.
Dit zijn serieuze problemen voor twee van de grootste huis-tech-namen. Terwijl deze problemen met gepast onbehagen worden behandeld en de kwetsbaarheden worden gecorrigeerd, is voldoende bekendheid gegeven aan het publiek? Laten we naar elk geval kijken, en wat het betekent voor uw webbeveiliging.
Geval 1: log in met Facebook
De kwetsbaarheid Login met Facebook legt uw accounts bloot - maar niet uw daadwerkelijke Facebook-wachtwoord - en de applicaties van derden die u hebt geïnstalleerd, zoals Bit.ly, Mashable, Vimeo, About.me, en gastheer van anderen.
De kritieke fout, ontdekt door Egor Homakov, beveiligingsonderzoeker voor Sakurity, stelt hackers in staat misbruik te maken van een overzicht in de Facebook-code. Het gebrek komt voort uit een gebrek aan passend Cross-Site Request Forgery (CSFR) bescherming voor drie verschillende processen: Facebook Login, Facebook Afmelden en Verbinding met derden. Door het beveiligingslek kan een ongewenste partij in essentie acties uitvoeren binnen een geverifieerd account. U kunt zien waarom dit een belangrijk probleem zou zijn.
Toch heeft Facebook er tot nu toe voor gekozen om heel weinig te doen om het probleem aan te pakken, omdat het hun eigen compatibiliteit met een groot aantal sites in gevaar zou brengen. Het derde probleem kan worden opgelost door een betrokken website-eigenaar, maar de eerste twee liggen uitsluitend bij de Facebook-deur.
Om het gebrek aan actie van Facebook verder te illustreren, heeft Homakov het probleem verder verdrongen door een hackers-tool genaamd RECONNECT vrij te geven. Hiermee wordt de bug misbruikt, waardoor hackers aangepaste URL's kunnen maken en invoegen die worden gebruikt om accounts op sites van derden te kapen. Homakov zou onverantwoordelijk kunnen worden genoemd voor het vrijgeven van de tool. Wat is het verschil tussen een goede hacker en een slechte hacker? [Opinion] Wat is het verschil tussen een goede hacker en een slechte hacker? [Opinie] Af en toe horen we iets in het nieuws over hackers die locaties verwijderen, een groot aantal programma's uitbuiten, of dreigen hun weg te vinden in hoogbeveiligde gebieden waar ze niet zouden moeten horen. Maar als ... Lees meer, maar de schuld ligt vierkant bij de weigering van Facebook om de kwetsbaarheid te patchen meer dan een jaar geleden aan het licht gebracht.
Blijf in de tussentijd waakzaam. Klik niet op niet-vertrouwde links van pagina's die spam bevatten of accepteer vriendschapsverklaringen van mensen die u niet kent. Facebook heeft ook een verklaring uitgegeven waarin staat:
“Dit is een goed begrepen gedrag. Site-ontwikkelaars die Login gebruiken, kunnen dit probleem voorkomen door onze best practices te volgen en de 'state'-parameter te gebruiken die we bieden voor OAuth-aanmelding.”
Bemoedigend.
Case 1a: Who Unfriended Me?
Andere Facebook-gebruikers vallen ten prooi aan een andere “service” ten prooi aan OAuth-inlogreferentiediefstal van derden. De OAuth-login is bedoeld om te voorkomen dat gebruikers hun wachtwoord invoeren voor een applicatie of dienst van een derde partij, met behoud van de beveiligingsmuur.
Diensten zoals UnfriendAlert prooi voor individuen die proberen te ontdekken wie hun online vriendschap heeft opgegeven, individuen vragen hun aanmeldingsreferenties in te voeren - en deze vervolgens rechtstreeks naar een kwaadwillende site sturen yougotunfriended.com. UnfriendAlert is geclassificeerd als een Potentieel Ongewenst Programma (PUP), waarbij opzettelijk adware en malware worden geïnstalleerd.
Helaas kan Facebook dergelijke services niet volledig blokkeren, dus het is de taak van de servicegebruikers om waakzaam te blijven en val niet voor dingen die goed lijken om waar te zijn.
Geval 2: Google Apps-fout
Onze tweede kwetsbaarheid is het gevolg van een fout in de verwerking van domeinnaamregistraties door Google Apps. Als u ooit een website hebt geregistreerd, weet u dat het verstrekken van uw naam, adres, e-mailadres en andere belangrijke privégegevens essentieel is voor het proces. Na registratie kan iedereen met voldoende tijd een Wie is om deze openbare informatie te vinden, tenzij u tijdens de registratie een verzoek indient om uw persoonlijke gegevens privé te houden. Deze functie brengt meestal kosten met zich mee en is volledig optioneel.
Die personen die sites registreren via eNom en het aanvragen van een privé-Whois vond dat hun gegevens langzaam waren gelekt gedurende een periode van 18 maanden of zo. Het softwarefout, ontdekt op 19 februarith en vijf dagen later ingestoken, lekte persoonlijke gegevens telkens wanneer een registratie werd vernieuwd, mogelijk privé-personen bloot aan een aantal problemen met gegevensbescherming.
Het is niet eenvoudig om toegang te krijgen tot de bulk release record van 282.000. Je zult er niet op internet over struikelen. Maar het is nu een onuitwisbare vlek op het track record van Google en is even onuitwisbaar van de enorme delen van het internet. En als zelfs 5%, 10% of 15% van de individuen beginnen met het ontvangen van zeer doelgerichte, kwaadwillige spear phishing-e-mails, veroorzaakt dit ballonnen tot een grote gegevenshoofdpijn voor zowel Google als eNom.
Case 3: Spoofed Me
Dit is een kwetsbaarheid voor meerdere netwerken. Elke versie van Windows wordt beïnvloed door dit beveiligingslek. Wat u erover kunt doen. Elke versie van Windows wordt beïnvloed door dit beveiligingslek - wat u erover kunt doen. Wat zou u zeggen als we u zouden vertellen dat uw versie van Windows wordt beïnvloed door een kwetsbaarheid die dateert uit 1997? Helaas is dit waar. Microsoft heeft het nooit gepatcht. Jouw beurt! Meer lezen waardoor een hacker opnieuw gebruik kan maken van de sign-on-systemen van derden die worden gebruikt door zoveel populaire sites. De hacker plaatst een verzoek met een geïdentificeerde kwetsbare service met behulp van het e-mailadres van het slachtoffer, een e-mail die eerder bekend was bij de kwetsbare service. De hacker kan dan de gegevens van de gebruiker spuien met het valse account en toegang krijgen tot het sociale account, compleet met bevestigde e-mailverificatie.
Om ervoor te zorgen dat deze hack werkt, moet de externe site minstens één andere aanmelding voor sociale netwerken ondersteunen met behulp van een andere identiteitsprovider, of de mogelijkheid om persoonlijke referenties voor lokale websites te gebruiken. Het is vergelijkbaar met de Facebook-hack, maar is te zien op een breder scala van websites, waaronder Amazon, LinkedIn en MYDIGIPASS, en kan mogelijk worden gebruikt om in te loggen bij gevoelige services met kwaadaardige bedoelingen.
Het is geen fout, het is een functie
Sommige van de sites die betrokken zijn bij deze manier van aanvallen laten een kritieke kwetsbaarheid eigenlijk niet onder de radar vliegen: ze zijn rechtstreeks in het systeem ingebouwd. Maakt je standaard routerconfiguratie je kwetsbaar voor hackers en oplichters? Maakt uw standaard routerconfiguratie u kwetsbaar voor hackers en oplichters? Routers komen zelden in een veilige toestand aan, maar zelfs als u de tijd hebt genomen om uw draadloze (of bekabelde) router correct te configureren, kan dit nog steeds de zwakke schakel zijn. Lees verder . Een voorbeeld is Twitter. Vanilla Twitter is goed, als je een account hebt. Zodra je meerdere accounts beheert, voor verschillende industrieën, een reeks doelgroepen benadert, heb je een applicatie nodig zoals Hootsuite of TweetDeck 6 Gratis manieren om tweets te plannen 6 Gratis manieren om tweets te plannen Twitter gebruiken gaat echt over het hier en nu. Je vindt een interessant artikel, een gave foto, een geweldige video, of misschien wil je gewoon iets delen dat je net hebt bedacht of waar je aan hebt gedacht. Ofwel ... Lees meer .
Deze applicaties communiceren met Twitter via een zeer vergelijkbare inlogprocedure, omdat zij ook directe toegang tot uw sociale netwerk nodig hebben en gebruikers worden gevraagd dezelfde rechten te verlenen. Het creëert een moeilijk scenario voor veel sociale netwerkproviders omdat apps van derden zoveel tot op sociaal gebied brengen, maar toch duidelijk beveiligingsoverlast veroorzaken voor zowel gebruiker als provider.
Naar boven afronden
We hebben drie-en-een-bit sociale inlogkwetsbaarheden geïdentificeerd die u nu kunt identificeren en hopelijk kunt voorkomen. Social sign-in hacks zullen niet zomaar opdrogen. De mogelijke uitbetaling voor hackers 4 Top Hackergroepen en wat ze willen 4 Top Hackergroepen en wat ze willen Het is gemakkelijk om hackergroepen te zien als een soort romantische achterzaalrevolutionairen. Maar wie zijn ze echt? Waar staan ze voor en welke aanvallen hebben ze in het verleden uitgevoerd? Read More is te groot en wanneer massale technologieën bedrijven zoals Facebook weigeren om in het belang van hun gebruikers te handelen, opent het in feite de deur en laat ze hun voeten vegen op de deurmat voor gegevensprivacy.
Is uw sociale account gehackt door een derde partij? Wat is er gebeurd? Hoe heb je hersteld?
Afbeelding Krediet: binaire code Via Shutterstock, Structuur via Pixabay
Ontdek meer over: Facebook, online privacy, online beveiliging.