Skelbimas
Prisijunkite naudodami „Facebook“. Prisijunkite naudodami „Google“. Tinklalapiai reguliariai įgyvendina mūsų norą lengvai prisijungti, kad užtikrintume apsilankymą ir įsitikintume, ar jie patraukia asmeninių duomenų pyrago dalį. Bet kokia kaina? Saugumo tyrėjas neseniai aptiko pažeidžiamumą Prisijunkite naudodami „Facebook“ funkcija, rasta daugelyje tūkstančių svetainių. Panašiai, „Google App“ domeno vardo sąsajos triktis atskleidė šimtams tūkstančių asmenų privačių duomenų visuomenei.
Tai yra rimtos problemos, su kuriomis susiduria du didžiausi namų ūkio techniniai vardai. Ar šie klausimai bus nagrinėjami pakankamai neramiai, o pažeidžiamumas bus pataisytas, ar visuomenė informuojama pakankamai? Pažvelkime į kiekvieną atvejį ir ką tai reiškia jūsų interneto saugumui.
1 atvejis: prisijungimas per „Facebook“
Prisijungimo su „Facebook“ pažeidžiamumas atskleidžia jūsų paskyras, bet ne tikrąjį „Facebook“ slaptažodį, ir įdiegtas trečiųjų šalių programas, pvz., „Bit.ly“, „Mashable“, „Vimeo“, „About.me“ir daugybė kitų.
Kritinė yda, kurią aptiko „Sakurity“ saugumo tyrinėtojas Egoras Homakovas, leidžia įsilaužėliams piktnaudžiauti „Facebook“ kodo priežiūra. Trūkumas atsiranda dėl to, kad nėra tinkamo Užklausa dėl klastojimo kitose vietose (CSFR) trijų skirtingų procesų apsauga: prisijungimas prie „Facebook“, „Facebook“ atsijungimas ir trečiųjų šalių abonemento prisijungimas. Dėl pažeidžiamumo nepageidaujama šalis gali atlikti veiksmus autentifikuotoje paskyroje. Galite suprasti, kodėl tai būtų reikšminga problema.
Vis dėlto „Facebook“ iki šiol nusprendė padaryti labai mažai, kad išspręstų problemą, nes tai pakenktų jų pačių suderinamumui su daugybe svetainių. Trečiąjį klausimą gali išspręsti bet kuris suinteresuotas svetainės savininkas, tačiau pirmieji du yra išimtinai prie „Facebook“ durų.
Norėdami dar labiau parodyti, kad „Facebook“ nesiėmė jokių veiksmų, Homakovas dar labiau pastūmėjo problemą išleisdamas įsilaužėlių įrankį pavadinimu „RECONNECT“. Tai išnaudoja klaidą, leisdama įsilaužėliams kurti ir įterpti pasirinktinius URL, naudojamus užgrobti paskyras trečiųjų šalių svetainėse. Homakovas galėtų būti vadinamas neatsakingas už įrankio paleidimą Kuo skiriasi geras kompiuterio piratas ir blogas piratas? [Nuomonė]Retkarčiais mes ką nors girdime apie įsilaužėlius, naikinančius svetaines, išnaudojančius a daugybė programų arba grasinančių apsisukti į didelio saugumo zonas, kur jie neturėtų priklausyti. Bet jei... Skaityti daugiau , tačiau kalta tik dėl „Facebook“ atsisakymo pataisyti pažeidžiamumą iškeltas į šviesą daugiau nei prieš metus.
Tuo tarpu išlikite budrūs. Nespustelėkite nepatikimų nuorodų iš šlamšto apžvelgiamų puslapių ir nepriimkite draugų, kurių nepažįstate, užklausų. „Facebook“ taip pat paskelbė pranešimą, kuriame sakoma:
„Tai gerai suprantamas elgesys. Svetainių kūrėjai, naudojantys prisijungimą, gali užkirsti kelią šiai problemai, laikydamiesi geriausios praktikos ir naudodami „būsenos“ parametrą, kurį teikiame prisijungdami prie „OAuth“. “
Skatiname.
1a atvejis: kas man nedraugavo?
Kiti „Facebook“ vartotojai tampa auka už dar vieną „paslaugą“, grobiančią trečiųjų šalių „OAuth“ prisijungimo kredencialų vagystes. „OAuth“ prisijungimas skirtas neleisti vartotojams įvesti savo slaptažodžio į trečiųjų šalių programas ar paslaugas, išlaikant saugumo sieną.
Tokios paslaugos kaip „Nieko nerandantis“ grobis asmenims, bandantiems išsiaiškinti, kas atsisakė savo internetinės draugystės, paprašydami asmenų įvesti savo prisijungimo duomenis - tada nusiųsdami juos tiesiai į kenksmingą svetainę yougotunfriended.com. „UnfriendAlert“ yra klasifikuojama kaip potencialiai nepageidaujama programa (PUP), tyčia diegianti reklamines ir kenkėjiškas programas.
Deja, „Facebook“ negali visiškai sustabdyti panašių paslaugų, todėl paslaugų vartotojai privalo išlikti budrūs ir nepatenkite į dalykus, kurie atrodo gerai, kad yra tiesa.
2 atvejis: „Google Apps“ klaida
Antrasis mūsų pažeidžiamumas yra susijęs su „Google Apps“ domenų vardų registravimo trūkumu. Jei kada nors esate įregistravę svetainę, žinosite, kad jūsų vardas, adresas, el. Pašto adresas ir kita svarbi asmeninė informacija yra labai svarbūs proceso metu. Po registracijos gali kiekvienas, turintis pakankamai laiko paleisti a Kas yra rasti šią viešą informaciją, nebent registracijos metu pateiktumėte prašymą išlaikyti jūsų asmeninius duomenis privačius. Ši funkcija paprastai kainuoja ir yra visiškai neprivaloma.
Tie asmenys, registruojantys svetaines per „eNom“ ir prašant privataus Whois, jų duomenys per maždaug 18 mėnesių lėtai buvo paviešinti. Programinės įrangos defektas, aptiktas vasario 19 dtūkst ir po penkių dienų prijungtas prie duomenų, nutekėjo asmeniniai duomenys kaskart atnaujinant registraciją, todėl privatūs asmenys galėjo susidurti su daugybe duomenų apsaugos problemų.
Nelengva pasiekti 282 000 masinio įrašo leidimą. Neapsiriksite internete. Bet dabar tai yra neištrinama „Google“ patirtis ir nepanaikinama nuo daugybės interneto platybių. Ir net 5%, 10% ar 15% asmenų pradeda gauti tikslinius kenksmingų piktybinių el. Laiškų sukčiavimo el. Laiškus, tai sukelia balionus į didelį „Google“ ir „eNom“ duomenų galvos skausmą.
3 atvejis: mane apgavo
Tai yra kelių tinklo pažeidžiamumas Šis pažeidžiamumas turi įtakos kiekvienai „Windows“ versijai - ką su ja galite padaryti.Ką jūs pasakytumėte, jei pasakytume, kad jūsų „Windows“ versijai įtakos turi 1997 m. Pažeidžiamumas? Deja, tai tiesa. „Microsoft“ to niekada nepataisė. Tavo eilė! Skaityti daugiau leisti įsilaužėliams vėl panaudoti trečiųjų šalių prisijungimo sistemas, kurias naudoja tiek daug populiarių svetainių. Įsilaužėlis pateikia užklausą nurodydamas pažeidžiamą tarnybą, naudodamas aukos el. Pašto adresą, tą, kuris anksčiau buvo žinomas pažeidžiamai tarnybai. Tada įsilaužėlis gali suklaidinti vartotojo duomenis suklastota paskyra, gavęs prieigą prie socialinės paskyros, užpildytą patvirtintu el. Pašto adresu.
Kad šis įsilaužimas veiktų, trečiosios šalies svetainė turi palaikyti bent vieną kitą prisijungimą prie socialinio tinklo naudodama kitą tapatybės teikėją arba galimybę naudoti vietinės asmeninės svetainės kredencialus. Jis panašus į „Facebook“ įsilaužimą, tačiau buvo pastebėtas įvairesnėse svetainėse, įskaitant „Amazon“, „ „LinkedIn“ ir „MYDIGIPASS“, be kita ko, ir galėtų būti naudojami prisijungiant prie neskelbtinų paslaugų naudojant kenksmingas ketinimas.
Tai nėra klastotė, tai yra savybė
Kai kurios svetainės, susijusios su šiuo išpuolio būdu, faktiškai neleido kritinei pažeidžiamumui skristi po radaru: jos yra įmontuota tiesiai į sistemą Ar jūsų numatytoji maršrutizatoriaus konfigūracija daro jus pažeidžiamus įsilaužėlių ir sukčių?Maršrutizatoriai retai būna saugioje būsenoje, tačiau net jei skyrėte laiko tinkamai sukonfigūruoti belaidį (ar laidinį) maršrutizatorių, jis vis tiek gali pasirodyti esąs silpnas ryšys. Skaityti daugiau . Vienas iš pavyzdžių yra „Twitter“. Vanilės Twitter yra Gerai, jei turite vieną sąskaitą. Kai tvarkote kelias skirtingų pramonės sričių paskyras, priartėjote prie daugybės auditorijų, jums reikia programos kaip „Hootsuite“ ar „TweetDeck“ 6 laisvi būdai suplanuoti Tweets„Twitter“ naudojimas yra tikrai apie tai, kas čia ir dabar. Rasite įdomų straipsnį, puikų paveikslėlį, nuostabų vaizdo įrašą, o gal tiesiog norite pasidalinti tuo, ką ką tik supratote ar pagalvojote. Arba ... Skaityti daugiau .
Šios programos bendrauja su „Twitter“ naudodamos labai panašią prisijungimo procedūrą, nes joms taip pat reikia tiesioginės prieigos prie jūsų socialinio tinklo, o vartotojų prašoma suteikti tuos pačius leidimus. Tai sukuria sudėtingą scenarijų daugeliui socialinių tinklų teikėjų, nes trečiųjų šalių programos tiek daug atneša į socialinę sritį, tačiau aiškiai sukuria nepatogumų vartotojui ir teikėjui.
Roundup
Mes nustatėme tris ir šiek tiek socialinio prisijungimo pažeidžiamumus, kuriuos dabar turėtumėte sugebėti nustatyti ir, ko tikimasi išvengti. Socialinio prisijungimo hacks neišdžiūs per naktį. galimas įsilaužėlių įsilaužimas 4 populiariausios įsilaužėlių grupės ir ko jie noriApie hakerių grupes lengva galvoti kaip apie kažkokius romantiškus užkulisinius revoliucionierius. Bet kas jie iš tikrųjų? Už ką jie stovi ir kokius išpuolius jie surengė praeityje? Skaityti daugiau yra per didelis, ir kai didžiulės technologijos kompanijos, tokios kaip „Facebook“, atsisako veikti geriausiais interesais jų vartotojų, tai iš esmės yra durų atidarymas ir leidimas jiems nuvalyti kojas dėl duomenų privatumo Durų kilimėlis.
Ar trečioji šalis pakenkė jūsų socialinei paskyrai? Kas nutiko? Kaip atsigavai?
Vaizdo kreditas:dvejetainis kodas Per „Shutterstock“, Struktūra per „Pixabay“
Gavinas yra MUO vyresnysis rašytojas. Jis taip pat yra „MakeUseOf“ šifravimo seserų svetainės „Blocks Decoded“ redaktorius ir SEO vadovas. Jis turi šiuolaikinio rašymo bakalaurą („Hons“) su skaitmeninio meno praktika, pagrobtu nuo Devono kalvų, taip pat turi daugiau nei dešimtmetį trukusio profesionalaus rašymo patirtį. Jis mėgaujasi daugybe arbatos.