Werbung
Mit Facebook einloggen. Melden Sie sich mit Google an. Websites nutzen regelmäßig unseren Wunsch, sich mit Leichtigkeit anzumelden, um sicherzustellen, dass wir sie besuchen und dass sie einen Teil der persönlichen Daten erhalten. Aber zu welchen Kosten? Ein Sicherheitsforscher entdeckte kürzlich eine Sicherheitslücke in der Mit Facebook einloggen Funktion auf vielen tausend Websites gefunden. In ähnlicher Weise hat ein Fehler in der Google App-Domainnamen-Oberfläche Hunderttausende von privaten Daten der Öffentlichkeit zugänglich gemacht.
Dies sind ernste Probleme, mit denen zwei der größten bekannten Tech-Namen konfrontiert sind. Während diese Probleme mit angemessenem Unbehagen behandelt und die Schwachstellen behoben werden, wird der Öffentlichkeit genügend Aufmerksamkeit geschenkt? Schauen wir uns jeden Fall an und was er für Ihre Websicherheit bedeutet.
Fall 1: Loggen Sie sich mit Facebook ein
Durch die Sicherheitsanfälligkeit "Mit Facebook anmelden" werden Ihre Konten - jedoch nicht Ihr tatsächliches Facebook-Kennwort - und die von Ihnen installierten Anwendungen von Drittanbietern, z
Bit.ly, Mashable, Vimeo, About.meund viele andere.Der kritische Fehler, den Egor Homakov, Sicherheitsforscher bei Sakurity, entdeckt hat, ermöglicht es Hackern, ein Versehen im Facebook-Code zu missbrauchen. Der Fehler rührt von einem Mangel an angemessener Fälschung von standortübergreifenden Anfragen (CSFR) -Schutz für drei verschiedene Prozesse: Facebook-Anmeldung, Facebook-Abmeldung und Kontoverbindung mit Drittanbietern. Die Sicherheitsanfälligkeit ermöglicht es einer unerwünschten Partei im Wesentlichen, Aktionen innerhalb eines authentifizierten Kontos auszuführen. Sie können sehen, warum dies ein wichtiges Problem wäre.
Facebook hat sich jedoch bisher entschlossen, nur sehr wenig zu tun, um das Problem anzugehen, da dies die eigene Kompatibilität mit einer Vielzahl von Websites beeinträchtigen würde. Das dritte Problem kann von jedem betroffenen Website-Eigentümer behoben werden, die ersten beiden liegen jedoch ausschließlich an der Facebook-Tür.
Um die mangelnde Aktion von Facebook weiter zu veranschaulichen, hat Homakov das Problem durch die Veröffentlichung eines Hacker-Tools namens RECONNECT weiter vorangetrieben. Dadurch wird der Fehler ausgenutzt, sodass Hacker benutzerdefinierte URLs erstellen und einfügen können, mit denen Konten auf Websites von Drittanbietern entführt werden. Homakov könnte gerufen werden unverantwortlich für das Loslassen des Werkzeugs Was ist der Unterschied zwischen einem guten und einem schlechten Hacker? [Meinung]Hin und wieder hören wir in den Nachrichten etwas über Hacker, die Websites herunterfahren und a ausnutzen eine Vielzahl von Programmen oder drohen, sich ihren Weg in Hochsicherheitsbereiche zu bahnen, in denen sie sich befinden sollte nicht gehören. Doch wenn... Weiterlesen Die Schuld liegt jedoch in der Weigerung von Facebook, die Sicherheitsanfälligkeit zu beheben vor über einem Jahr ans Licht gebracht.
In der Zwischenzeit wachsam bleiben. Klicken Sie nicht auf nicht vertrauenswürdige Links von Spam-Seiten oder akzeptieren Sie keine Freundschaftsanfragen von Personen, die Sie nicht kennen. Facebook hat auch eine Erklärung veröffentlicht, in der es heißt:
„Dies ist ein gut verstandenes Verhalten. Website-Entwickler, die Login verwenden, können dieses Problem verhindern, indem sie unsere Best Practices befolgen und den Parameter "state" verwenden, den wir für OAuth Login bereitstellen. "
Ermutigend.
Fall 1a: Wer hat mich entfreundet?
Andere Facebook-Nutzer werden Opfer eines anderen „Dienstes“, der OAuth-Diebstahl von Anmeldeinformationen von Drittanbietern ausnutzt. Mit der OAuth-Anmeldung wird verhindert, dass Benutzer ihr Kennwort für Anwendungen oder Dienste von Drittanbietern eingeben, wodurch die Sicherheitsmauer erhalten bleibt.
Dienstleistungen wie UnfriendAlert Beute von Personen, die versuchen herauszufinden, wer ihre Online-Freundschaft aufgegeben hat, indem sie Einzelpersonen auffordern, ihre Anmeldeinformationen einzugeben, und sie dann direkt an eine bösartige Website senden yougotunfriended.com. UnfriendAlert wird als potenziell unerwünschtes Programm (PUP) eingestuft, das absichtlich Adware und Malware installiert.
Leider kann Facebook solche Dienste nicht vollständig stoppen, daher liegt es in der Verantwortung der Dienstnutzer, wachsam zu bleiben und nicht auf Dinge hereinfallen, die zu gut scheinen, um wahr zu sein.
Fall 2: Google Apps Bug
Unsere zweite Sicherheitsanfälligkeit beruht auf einem Fehler bei der Handhabung von Domainnamenregistrierungen durch Google Apps. Wenn Sie jemals eine Website registriert haben, wissen Sie, dass die Angabe Ihres Namens, Ihrer Adresse, Ihrer E-Mail-Adresse und anderer wichtiger privater Informationen für den Vorgang von entscheidender Bedeutung ist. Nach der Registrierung kann jeder mit genügend Zeit Führen Sie a Wer ist um diese öffentlichen Informationen zu finden, es sei denn, Sie stellen bei der Registrierung eine Anfrage, um Ihre persönlichen Daten privat zu halten. Diese Funktion ist normalerweise kostenpflichtig und völlig optional.
Personen, die Websites über eNom registrieren und Das Anfordern eines privaten Whois stellte fest, dass seine Daten über einen Zeitraum von etwa 18 Monaten langsam durchgesickert waren. Der am 19. Februar entdeckte Softwarefehlerth Fünf Tage später wurden private Daten durchgesickert, und jedes Mal, wenn eine Registrierung erneuert wurde, wurden Privatpersonen einer beliebigen Anzahl von Datenschutzproblemen ausgesetzt.
Der Zugriff auf die 282.000-Bulk-Record-Version ist nicht einfach. Sie werden im Web nicht darauf stoßen. Aber es ist jetzt ein unauslöschlicher Makel in Googles Erfolgsbilanz und ebenso unauslöschlich in den weiten Teilen des Internets. Und wenn sogar 5%, 10% oder 15% der Personen gezielte, böswillige Spear-Phishing-E-Mails erhalten, führt dies zu erheblichen Datenproblemen für Google und eNom.
Fall 3: Fälschte mich
Das ist ein Sicherheitslücke in mehreren Netzwerken Jede Windows-Version ist von dieser Sicherheitsanfälligkeit betroffen - was Sie dagegen tun können.Was würden Sie sagen, wenn wir Ihnen mitteilen würden, dass Ihre Windows-Version von einer Sicherheitsanfälligkeit aus dem Jahr 1997 betroffen ist? Leider ist das wahr. Microsoft hat es einfach nie gepatcht. Du bist dran! Weiterlesen So kann ein Hacker die Anmeldesysteme von Drittanbietern, die von so vielen beliebten Websites genutzt werden, erneut ausnutzen. Der Hacker stellt eine Anfrage an einen identifizierten anfälligen Dienst unter Verwendung der E-Mail-Adresse des Opfers, die dem anfälligen Dienst zuvor bekannt war. Der Hacker kann dann die Benutzerdaten mit dem gefälschten Konto fälschen und erhält Zugriff auf das soziale Konto mit bestätigter E-Mail-Bestätigung.
Damit dieser Hack funktioniert, muss die Website eines Drittanbieters mindestens eine andere Anmeldung in einem sozialen Netzwerk mit einem anderen Identitätsanbieter oder die Möglichkeit zur Verwendung lokaler persönlicher Website-Anmeldeinformationen unterstützen. Es ähnelt dem Facebook-Hack, wurde jedoch auf einer größeren Anzahl von Websites, einschließlich Amazon, gesehen. LinkedIn und MYDIGIPASS unter anderem und könnten möglicherweise verwendet werden, um sich bei sensiblen Diensten mit anzumelden böswillige Absicht.
Es ist kein Fehler, es ist eine Funktion
Einige der Websites, die an diesem Angriffsmodus beteiligt sind, lassen eine kritische Sicherheitsanfälligkeit nicht unter dem Radar fliegen: Sie sind es direkt in das System eingebaut Macht Sie Ihre Standard-Routerkonfiguration für Hacker und Betrüger anfällig?Router kommen selten in einem sicheren Zustand an, aber selbst wenn Sie sich die Zeit genommen haben, Ihren drahtlosen (oder kabelgebundenen) Router richtig zu konfigurieren, kann er sich dennoch als schwaches Glied erweisen. Weiterlesen . Ein Beispiel ist Twitter. Vanille Twitter ist gut, wenn Sie einen Account haben. Sobald Sie mehrere Konten für verschiedene Branchen verwalten und sich einer Reihe von Zielgruppen nähern, benötigen Sie eine Anwendung wie Hootsuite oder TweetDeck 6 kostenlose Möglichkeiten zum Planen von TweetsBei der Nutzung von Twitter geht es wirklich um das Hier und Jetzt. Sie finden einen interessanten Artikel, ein cooles Bild, ein fantastisches Video oder möchten einfach nur etwas teilen, das Sie gerade erkannt oder gedacht haben. Entweder... Weiterlesen .
Diese Anwendungen kommunizieren mit Twitter über ein sehr ähnliches Anmeldeverfahren, da auch sie direkten Zugriff auf Ihr soziales Netzwerk benötigen und Benutzer aufgefordert werden, dieselben Berechtigungen bereitzustellen. Für viele Anbieter sozialer Netzwerke ist dies ein schwieriges Szenario, da Apps von Drittanbietern so viel in die soziale Sphäre bringen und dennoch eindeutig Sicherheitsmängel für Benutzer und Anbieter verursachen.
Zusammenfassen
Wir haben dreieinhalb soziale Sicherheitslücken bei der Anmeldung identifiziert, die Sie jetzt identifizieren und hoffentlich vermeiden sollten. Social-Sign-In-Hacks werden nicht über Nacht versiegen. Das potenzielle Auszahlung für Hacker 4 Top-Hacker-Gruppen und was sie wollenEs ist leicht, sich Hacker-Gruppen als eine Art romantische Hinterzimmer-Revolutionäre vorzustellen. Aber wer sind sie wirklich? Wofür stehen sie und welche Angriffe haben sie in der Vergangenheit durchgeführt? Weiterlesen ist zu groß, und wenn massive Technologien Unternehmen wie Facebook sich weigern, im besten Interesse zu handeln von ihren Benutzern ist es im Grunde die Tür zu öffnen und sie ihre Füße auf den Datenschutz abwischen zu lassen Fußabtreter.
Wurde Ihr soziales Konto von einem Dritten kompromittiert? Was ist passiert? Wie hast du dich erholt?
Bildnachweis:Binärcode Über Shutterstock, Struktur über Pixabay
Gavin ist Senior Writer bei MUO. Er ist außerdem Redakteur und SEO-Manager für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee.
