Annuncio pubblicitario

Fai il login con facebook. Accedi con Google. I siti Web sfruttano regolarmente il nostro desiderio di accedere con facilità per garantire che visitiamo e per garantire che prendano una fetta della torta dei dati personali. Ma a quale costo? Un ricercatore di sicurezza ha recentemente scoperto una vulnerabilità nel Fai il login con facebook caratteristica trovata su molte migliaia di siti. Allo stesso modo, un bug nell'interfaccia del nome di dominio dell'app Google ha rivelato al pubblico centinaia di migliaia di dati privati.

Questi sono problemi seri che devono affrontare due dei più grandi nomi di tecnologia domestica. Mentre queste problematiche verranno trattate con adeguato disagio e le vulnerabilità corrette, verrà data sufficiente consapevolezza al pubblico? Vediamo ogni caso e cosa significa per la tua sicurezza web.

Caso 1: accedi con Facebook

La vulnerabilità di Login con Facebook espone i tuoi account - ma non la tua vera password di Facebook - e le applicazioni di terze parti che hai installato, come Bit.ly, Mashable, Vimeo, About.mee molti altri.

instagram viewer

Il difetto critico, scoperto da Egor Homakov, ricercatore di sicurezza per Sakurity, consente agli hacker di abusare di una svista nel codice di Facebook. Il difetto deriva da una mancanza di appropriate Falsificazione richiesta su più siti (CSFR) protezione per tre diversi processi: accesso a Facebook, uscita da Facebook e connessione all'account di terze parti. La vulnerabilità essenzialmente consente a una parte indesiderata di eseguire azioni all'interno di un account autenticato. Puoi capire perché questo sarebbe un problema significativo.

muo-sicurezza-SMB-parola-furto

Eppure Facebook ha ancora scelto di fare ben poco per affrontare il problema, poiché comprometterebbe la propria compatibilità con un vasto numero di siti. Il terzo problema può essere risolto da qualsiasi proprietario del sito Web interessato, ma i primi due si trovano esclusivamente alla porta di Facebook.

Per esemplificare ulteriormente la mancanza di azione compiuta da Facebook, Homakov ha ulteriormente spinto il problema rilasciando uno strumento di hacker chiamato RECONNECT. Questo sfrutta il bug, consentendo agli hacker di creare e inserire URL personalizzati utilizzati per dirottare account su siti di terze parti. Homakov potrebbe essere chiamato irresponsabile per il rilascio dello strumento Qual è la differenza tra un buon hacker e un cattivo hacker? [Opinione]Ogni tanto sentiamo qualcosa nelle notizie sugli hacker che abbattono siti, sfruttano un moltitudine di programmi, o minacciando di spostarsi in aree ad alta sicurezza dove si trovano non dovrebbe appartenere. Ma se... Leggi di più , ma la colpa ricade direttamente sul rifiuto di Facebook di correggere la vulnerabilità portato alla luce oltre un anno fa.

Accedi per Facebook

Nel frattempo, resta vigile. Non fare clic su collegamenti non attendibili da pagine dall'aspetto di spam o accettare richieste di amicizia da persone che non conosci. Facebook ha anche rilasciato una dichiarazione che dice:

“Questo è un comportamento ben compreso. Gli sviluppatori di siti che utilizzano Login possono prevenire questo problema seguendo le nostre best practice e utilizzando il parametro "state" che forniamo Login OAuth ".

Incoraggiare.

Caso 1a: Who Unfriended Me?

Altri utenti di Facebook sono in preda a un altro "servizio" in preda al furto di credenziali di accesso OAuth di terze parti. L'accesso OAuth è progettato per impedire agli utenti di immettere la password per qualsiasi applicazione o servizio di terze parti, mantenendo il muro di sicurezza.

Notifica non amico

Servizi come UnfriendAlert depredare le persone che tentano di scoprire chi ha abbandonato la loro amicizia online, chiedendo alle persone di inserire le proprie credenziali di accesso, quindi inviandole direttamente al sito dannoso yougotunfriended.com. UnfriendAlert è classificato come un programma potenzialmente indesiderato (PUP), che installa intenzionalmente adware e malware.

Sfortunatamente, Facebook non può fermare del tutto servizi come questo, quindi spetta agli utenti del servizio rimanere vigili e non cadere per cose che sembrano buone per essere vere.

Caso 2: bug di Google Apps

La nostra seconda vulnerabilità deriva da un difetto nella gestione di Google Apps delle registrazioni dei nomi di dominio. Se hai mai registrato un sito web, saprai che la fornitura del tuo nome, indirizzo, indirizzo email e altre importanti informazioni private è essenziale per il processo. Dopo la registrazione, chiunque abbia abbastanza tempo può farlo eseguire a Chi è per trovare queste informazioni pubbliche, a meno che non si presenti una richiesta durante la registrazione per mantenere privati ​​i propri dati personali. Questa funzionalità di solito ha un costo ed è del tutto facoltativa.

Accedi con Google

Quelle persone che registrano siti tramite eNom e la richiesta a un Whois privato ha scoperto che i suoi dati erano stati lentamente divulgati per un periodo di circa 18 mesi. Il difetto del software, scoperto il 19 febbraioesimo e collegato cinque giorni dopo, trapelava dati privati ​​ogni volta che veniva rinnovata una registrazione, esponendo potenzialmente i privati ​​a qualsiasi numero di problemi di protezione dei dati.

Ricerca Whois

Accedere alla pubblicazione di 282.000 dischi in serie non è facile. Non ti imbatterai in esso sul Web. Ma ora è un difetto indelebile nei precedenti di Google ed è altrettanto indelebile dalle vaste aree di Internet. E se anche il 5%, il 10% o il 15% delle persone iniziano a ricevere e-mail di phishing altamente mirate e dannose, ciò genera un forte mal di testa nei dati sia per Google che per eNom.

Caso 3: Spoofed Me

Questo è un vulnerabilità di rete multipla Ogni versione di Windows è interessata da questa vulnerabilità: cosa puoi fare al riguardo.Cosa diresti se ti dicessimo che la tua versione di Windows è interessata da una vulnerabilità che risale al 1997? Sfortunatamente, questo è vero. Microsoft semplicemente non lo ha mai corretto. Il tuo turno! Leggi di più consentendo a un hacker di sfruttare nuovamente i sistemi di accesso di terze parti sfruttati da così tanti siti popolari. L'hacker effettua una richiesta con un servizio vulnerabile identificato utilizzando l'indirizzo e-mail della vittima, precedentemente noto al servizio vulnerabile. L'hacker può quindi falsificare i dettagli dell'utente con l'account falso, ottenendo l'accesso all'account social completo di verifica e-mail confermata.

Sicurezza netta

Affinché questo hack funzioni, il sito di terze parti deve supportare almeno un altro accesso ai social network utilizzando un altro provider di identità o la capacità di utilizzare le credenziali del sito Web personale locale. È simile all'hack di Facebook, ma è stato visto su una vasta gamma di siti Web, tra cui Amazon, LinkedIn e MYDIGIPASS, tra gli altri, e potrebbero essere potenzialmente utilizzati per accedere a servizi sensibili con intento malizioso.

Non è un difetto, è una caratteristica

Alcuni dei siti implicati in questa modalità di attacco non hanno effettivamente permesso a una vulnerabilità critica di volare sotto il radar: lo sono integrato direttamente nel sistema La tua configurazione di router predefinita ti rende vulnerabile a hacker e truffatori?I router raramente arrivano in uno stato sicuro, ma anche se hai impiegato del tempo per configurare correttamente il tuo router wireless (o cablato), può comunque rivelarsi il collegamento debole. Leggi di più . Un esempio è Twitter. Vanilla Twitter lo è bene, se hai un account. Una volta che gestisci più account, per diversi settori, ti avvicini a una vasta gamma di destinatari, hai bisogno di un'applicazione come Hootsuite o TweetDeck 6 modi gratuiti per programmare i tweetL'uso di Twitter riguarda davvero il qui e ora. Trovi un articolo interessante, una bella foto, un video fantastico o forse vuoi solo condividere qualcosa che hai appena realizzato o pensato. O... Leggi di più .

Struttura

Queste applicazioni comunicano con Twitter utilizzando una procedura di accesso molto simile in quanto anche loro hanno bisogno dell'accesso diretto al tuo social network e agli utenti viene richiesto di fornire le stesse autorizzazioni. Crea uno scenario difficile per molti provider di social network poiché le app di terze parti portano così tanto nella sfera sociale, ma creano chiaramente inconvenienti di sicurezza sia per l'utente che per il provider.

Arrotondare

Abbiamo identificato tre e un po 'di vulnerabilità di accesso sociale che ora dovresti essere in grado di identificare ed eventualmente speriamo di evitare. Gli hack di accesso social non si prosciugheranno durante la notte. Il potenziale guadagno per gli hacker 4 principali gruppi di hacker e cosa voglionoÈ facile pensare ai gruppi di hacker come a una sorta di romantici rivoluzionari dietro le quinte. Ma chi sono veramente? Cosa rappresentano e quali attacchi hanno condotto in passato? Leggi di più è troppo grande e quando enormi tecnologie come Facebook si rifiutano di agire nel migliore interesse dei loro utenti, fondamentalmente sta aprendo la porta e lasciando che si puliscano i piedi sulla privacy dei dati zerbino.

Il tuo account social è stato compromesso da una terza parte? Quello che è successo? Come ti sei ripreso?

Credito immagine:codice binario Via Shutterstock, Struttura tramite Pixabay

Gavin è Senior Writer per MUO. È anche redattore e SEO Manager del sito gemello focalizzato sulla crittografia di MakeUseOf, Blocks Decoded. Ha una BA (Hons) Contemporary Writing with Digital Art Practices saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza professionale nella scrittura. Gli piace abbondanti quantità di tè.