Advertentie

Inloggen met Facebook. Log in met Google. Websites maken regelmatig gebruik van onze wens om gemakkelijk in te loggen om ervoor te zorgen dat we bezoeken en om ervoor te zorgen dat ze een deel van de taart met persoonlijke gegevens pakken. Maar tegen welke prijs? Een beveiligingsonderzoeker ontdekte onlangs een kwetsbaarheid in de Inloggen met Facebook functie gevonden op vele duizenden sites. Evenzo heeft een bug in de interface van de Google App-domeinnaam honderdduizenden individuen privégegevens openbaar gemaakt.

Dit zijn serieuze problemen waarmee twee van de grootste technische namen van huishoudens worden geconfronteerd. Hoewel deze kwesties met gepaste ongerustheid zullen worden behandeld en de kwetsbaarheden zullen worden verholpen, is er voldoende bekendheid bij het publiek? Laten we elk geval bekijken en wat dit betekent voor uw webbeveiliging.

Case 1: Inloggen met Facebook

Door het beveiligingslek met Inloggen met Facebook worden uw accounts - maar niet uw daadwerkelijke Facebook-wachtwoord - en de applicaties van derden die u hebt geïnstalleerd, zoals

instagram viewer
Bit.ly, Mashable, Vimeo, About.me, en tal van anderen.

De kritieke fout, ontdekt door Egor Homakov, beveiligingsonderzoeker voor Sakurity, stelt hackers in staat misbruik te maken van een toezicht op de Facebook-code. De fout komt voort uit een gebrek aan passende Cross-Site Request Forgery (CSFR) -bescherming voor drie verschillende processen: inloggen op Facebook, uitloggen op Facebook en accountverbinding met derden. Door het beveiligingslek kan een ongewenste partij acties uitvoeren binnen een geverifieerd account. U kunt zien waarom dit een belangrijk probleem zou zijn.

muo-security-smb-wachtwoorddiefstal

Toch heeft Facebook er tot nu toe voor gekozen om heel weinig te doen om het probleem aan te pakken, omdat het hun eigen compatibiliteit met een groot aantal sites in gevaar zou brengen. Het derde probleem kan worden opgelost door elke bezorgde website-eigenaar, maar de eerste twee liggen uitsluitend bij de Facebook-deur.

Om het gebrek aan actie van Facebook verder te illustreren, heeft Homakov het probleem verder gepusht door een hackers-tool genaamd RECONNECT vrij te geven. Hiermee wordt de bug misbruikt, waardoor hackers aangepaste URL's kunnen maken en invoegen die worden gebruikt om accounts op sites van derden te kapen. Homakov kan worden gebeld onverantwoordelijk voor het vrijgeven van het gereedschap Wat is het verschil tussen een goede hacker en een slechte hacker? [Mening]Af en toe horen we iets in het nieuws over hackers die sites verwijderen, een exploiteren een veelheid aan programma's, of dreigt zich een weg te banen naar streng beveiligde gebieden waar ze zich bevinden hoort er niet bij. Maar als... Lees verder , maar de schuld ligt volledig bij de weigering van Facebook om de kwetsbaarheid te verhelpen meer dan een jaar geleden aan het licht gebracht.

Log in voor Facebook

Blijf ondertussen waakzaam. Klik niet op niet-vertrouwde links van pagina's die op spam lijken en accepteer geen vriendschapsverzoeken van mensen die u niet kent. Facebook heeft ook een verklaring vrijgegeven waarin staat:

'Dit is een goed begrepen gedrag. Site-ontwikkelaars die Login gebruiken, kunnen dit probleem voorkomen door onze best practices te volgen en de ‘state’ -parameter te gebruiken die we bieden voor OAuth Login. "

Bemoedigend.

Case 1a: Wie heeft mij bevriend?

Andere Facebook-gebruikers vallen ten prooi aan een andere "service" die aast op diefstal van inloggegevens van derden van OAuth. De OAuth-login is ontworpen om te voorkomen dat gebruikers hun wachtwoord invoeren voor een toepassing of service van derden, waardoor de beveiligingsmuur behouden blijft.

Unfriend Melden

Diensten zoals UnfriendAlert prooi op individuen die proberen te achterhalen wie hun online vriendschap heeft opgegeven, door individuen te vragen hun inloggegevens in te voeren en ze vervolgens rechtstreeks naar een kwaadaardige site te sturen yougotunfriended.com. UnfriendAlert is geclassificeerd als een potentieel ongewenst programma (PUP), dat opzettelijk adware en malware installeert.

Helaas kan Facebook dergelijke services niet helemaal stoppen, dus het is aan de servicegebruikers om waakzaam te blijven en niet vallen voor dingen die te mooi lijken om waar te zijn.

Geval 2: Google Apps Bug

Onze tweede kwetsbaarheid komt voort uit een fout in de verwerking van domeinnamen door Google Apps. Als u ooit een website heeft geregistreerd, weet u dat het verstrekken van uw naam, adres, e-mailadres en andere belangrijke privé-informatie essentieel is voor het proces. Na registratie kan iedereen met voldoende tijd ren een Wie is om deze openbare informatie te vinden, tenzij u tijdens de registratie een verzoek indient om uw persoonlijke gegevens privé te houden. Deze functie brengt meestal kosten met zich mee en is volledig optioneel.

Log in met Google

Die personen die sites registreren via eNom en bij het aanvragen van een privé Whois ontdekten dat hun gegevens langzaam waren uitgelekt over een periode van ongeveer 18 maanden. Het softwarefout, ontdekt op 19 februarith en vijf dagen later afgesloten, lekten privégegevens telkens wanneer een registratie werd vernieuwd, waardoor particulieren mogelijk werden blootgesteld aan een aantal problemen met gegevensbescherming.

Whois zoeken

Toegang krijgen tot de 282.000 bulkrecordrelease is niet eenvoudig. U zult het niet tegenkomen op internet. Maar het is nu een onuitwisbare smet op het trackrecord van Google en even onuitwisbaar van de uitgestrekte delen van internet. En als zelfs 5%, 10% of 15% van de individuen zeer gerichte, kwaadaardige spear phishing-e-mails beginnen te ontvangen, veroorzaakt dit voor zowel Google als eNom een ​​enorme datapijn.

Case 3: Ik heb me voor de gek gehouden

Dit is een meerdere netwerkkwetsbaarheid Elke versie van Windows heeft last van dit beveiligingslek - wat u eraan kunt doen.Wat zou u zeggen als we u vertelden dat uw versie van Windows is getroffen door een kwetsbaarheid die teruggaat tot 1997? Dit is helaas waar. Microsoft heeft het simpelweg nooit gepatcht. Jouw beurt! Lees verder waardoor een hacker opnieuw gebruik kan maken van de inlogsystemen van derden die door zoveel populaire sites worden gebruikt. De hacker plaatst een verzoek bij een geïdentificeerde kwetsbare service via het e-mailadres van het slachtoffer, een adres dat eerder bekend was bij de kwetsbare service. De hacker kan vervolgens de gegevens van de gebruiker vervalsen met het nepaccount, waardoor hij toegang krijgt tot het sociale account, compleet met bevestigde e-mailverificatie.

Netto beveiliging

Om deze hack te laten werken, moet de site van derden ten minste één andere aanmelding voor een sociaal netwerk ondersteunen met een andere identiteitsprovider, of de mogelijkheid om lokale persoonlijke website-inloggegevens te gebruiken. Het lijkt op de Facebook-hack, maar is gezien op een groter aantal websites, waaronder Amazon, LinkedIn en onder andere MYDIGIPASS en kunnen mogelijk worden gebruikt om mee in te loggen bij gevoelige services slechte bedoeling.

Het is geen fout, het is een functie

Sommige van de sites die betrokken zijn bij deze manier van aanvallen hebben niet echt een kritieke kwetsbaarheid onder de radar laten vliegen: dat zijn ze rechtstreeks in het systeem ingebouwd Maakt uw standaard routerconfiguratie u kwetsbaar voor hackers en oplichters?Routers komen zelden in een veilige staat aan, maar zelfs als u de tijd heeft genomen om uw draadloze (of bekabelde) router correct te configureren, kan het nog steeds de zwakke schakel blijken te zijn. Lees verder . Een voorbeeld is Twitter. Vanille Twitter is goed, als u één account heeft. Zodra u meerdere accounts beheert en voor verschillende branches verschillende doelgroepen benadert, heeft u een applicatie nodig zoals Hootsuite of TweetDeck 6 gratis manieren om tweets te plannenTwitter gebruiken gaat echt over het hier en nu. Je vindt een interessant artikel, een coole foto, een geweldige video, of misschien wil je gewoon iets delen wat je net hebt gerealiseerd of bedacht. Een van beide... Lees verder .

Structuur

Deze toepassingen communiceren met Twitter via een zeer vergelijkbare aanmeldingsprocedure, omdat ook zij directe toegang tot uw sociale netwerk nodig hebben en gebruikers wordt gevraagd dezelfde machtigingen te verlenen. Het creëert een moeilijk scenario voor veel providers van sociale netwerken, aangezien apps van derden zoveel brengen in de sociale sfeer, maar toch duidelijk ongemakken voor de beveiliging voor zowel gebruiker als provider veroorzaken.

Naar boven afronden

We hebben drie-en-een-beetje kwetsbaarheden voor sociale aanmelding geïdentificeerd die u nu zou moeten kunnen identificeren en hopelijk moet vermijden. Hacks voor sociale aanmelding drogen niet van de ene op de andere dag op. De mogelijke uitbetaling voor hackers 4 Top Hackergroepen en wat ze willenJe kunt hackergroepen gemakkelijk zien als een soort romantische revolutionairen in de achterkamer. Maar wie zijn ze eigenlijk? Waar staan ​​ze voor en welke aanvallen hebben ze in het verleden uitgevoerd? Lees verder is te groot, en wanneer enorme technologieën bedrijven zoals Facebook weigeren te handelen in het beste belang van hun gebruikers, is het in feite het openen van de deur en ze hun voeten laten vegen over de privacy van gegevens deurmat.

Is uw sociale account gehackt door een derde partij? Wat is er gebeurd? Hoe ben je hersteld?

Afbeelding tegoed:binaire code Via Shutterstock, Structuur via Pixabay

Gavin is Senior Writer voor MUO. Hij is ook de redacteur en SEO-manager voor MakeUseOf's crypto-gerichte zustersite, Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij houdt van veel thee.