Inloggen met Facebook. Inloggen met Google. Websites maken vaak gebruik van onze wens om gemakkelijk in te loggen om ervoor te zorgen dat we ze bezoeken en ervoor te zorgen dat ze een deel van de persoonlijke gegevens halen. Maar tegen welke prijs? Een beveiligingsonderzoeker ontdekte onlangs een kwetsbaarheid in de functie Inloggen met Facebook op duizenden sites. Op dezelfde manier heeft een bug in de Google Apps-domeinnaaminterface honderdduizenden privégegevens aan het publiek getoond.
Dit zijn serieuze problemen voor twee van de grootste huis-tech-namen. Terwijl deze problemen met gepast onbehagen worden behandeld en de kwetsbaarheden worden gecorrigeerd, is voldoende bekendheid gegeven aan het publiek? Laten we naar elk geval kijken, en wat het betekent voor uw webbeveiliging.
Geval 1: log in met Facebook
Het beveiligingslek met betrekking tot Inloggen met Facebook legt uw accounts bloot - maar niet uw daadwerkelijke Facebook-wachtwoord - en de applicaties van derden die u hebt geïnstalleerd, zoals Bit.ly, Mashable, Vimeo, About.me en tal van anderen.
De kritieke fout, ontdekt door Egor Homakov, beveiligingsonderzoeker voor Sakurity, stelt hackers in staat misbruik te maken van een overzicht in de Facebook-code. De fout is het gevolg van een gebrek aan geschikte Cross-Site Request Forgery (CSFR) -beveiliging voor drie verschillende processen: Facebook Login, Facebook Afmelden en Verbinding met derden. Door het beveiligingslek kan een ongewenste partij in essentie acties uitvoeren binnen een geverifieerd account. U kunt zien waarom dit een belangrijk probleem zou zijn.
Toch heeft Facebook er tot nu toe voor gekozen om heel weinig te doen om het probleem aan te pakken, omdat het hun eigen compatibiliteit met een groot aantal sites in gevaar zou brengen. Het derde probleem kan worden opgelost door een betrokken website-eigenaar, maar de eerste twee liggen uitsluitend bij de Facebook-deur.
Om het gebrek aan actie door Facebook verder te illustreren, heeft Homakov het probleem verder verdrongen door een hackers-tool genaamd RECONNECT vrij te geven. Hiermee wordt de bug misbruikt, waardoor hackers aangepaste URL's kunnen maken en invoegen die worden gebruikt om accounts op sites van derden te kapen. Homakov zou onverantwoordelijk kunnen worden genoemd voor het vrijgeven van de tool. Wat is het verschil tussen een goede hacker en een slechte hacker? [Opinion] Wat is het verschil tussen een goede hacker en een slechte hacker? [Opinie] Af en toe horen we iets in het nieuws over hackers die locaties verwijderen, een groot aantal programma's uitbuiten, of dreigen hun weg te vinden in hoogbeveiligde gebieden waar ze niet zouden moeten horen. Maar als ... Lees meer, maar de schuld ligt vierkant bij de weigering van Facebook om de kwetsbaarheid die een jaar geleden aan het licht werd gebracht, te repareren .
Blijf in de tussentijd waakzaam. Klik niet op niet-vertrouwde links van pagina's die spam bevatten of accepteer vriendschapsverklaringen van mensen die u niet kent. Facebook heeft ook een verklaring uitgegeven waarin staat:
"Dit is een goed begrepen gedrag. Site-ontwikkelaars die Login gebruiken, kunnen dit probleem voorkomen door onze best practices te volgen en de 'state'-parameter te gebruiken die we bieden voor OAuth-aanmelding.'
Bemoedigend.
Case 1a: Who Unfriended Me?
Andere Facebook-gebruikers vallen ten prooi aan een andere "service" die preedt op OAuth-inlogreferentiediefstal van derden. De OAuth-login is bedoeld om te voorkomen dat gebruikers hun wachtwoord invoeren voor een applicatie of dienst van een derde partij, met behoud van de beveiligingsmuur.
Diensten zoals UnfriendAlert- prooi voor personen die proberen te ontdekken wie hun online vriendschap heeft opgegeven, individuen vragen hun aanmeldingsreferenties in te voeren en deze vervolgens rechtstreeks naar kwaadwillende site yougotunfriended.com sturen . UnfriendAlert is geclassificeerd als een Potentieel Ongewenst Programma (PUP), waarbij opzettelijk adware en malware worden geïnstalleerd.
Jammer genoeg kan Facebook dergelijke services niet volledig stoppen, dus het is de taak van de servicegebruikers om waakzaam te blijven en niet te vallen voor dingen die goed lijken om waar te zijn.
Geval 2: Google Apps-fout
Onze tweede kwetsbaarheid is het gevolg van een fout in de verwerking van domeinnaamregistraties door Google Apps. Als u ooit een website hebt geregistreerd, weet u dat het verstrekken van uw naam, adres, e-mailadres en andere belangrijke privégegevens essentieel is voor het proces. Na registratie kan iedereen die voldoende tijd heeft een Whois draaien om deze openbare informatie te vinden, tenzij u tijdens de registratie een verzoek indient om uw persoonlijke gegevens privé te houden. Deze functie brengt meestal kosten met zich mee en is volledig optioneel.
De personen die via eNom sites registreerden en een privé-Whois vroegen om hun gegevens te vinden, waren langzaam gelekt in een periode van 18 maanden of zo. Het softwarefout, ontdekt op 19 februari en vijf dagen later ingeplugd, lekte privégegevens telkens wanneer een registratie werd vernieuwd, waardoor privépersonen mogelijk worden blootgesteld aan een aantal problemen met gegevensbescherming.
Het is niet eenvoudig om toegang te krijgen tot de bulk release record van 282.000. Je zult er niet op internet over struikelen. Maar het is nu een onuitwisbare vlek op het track record van Google en is even onuitwisbaar van de enorme delen van het internet. En als zelfs 5%, 10% of 15% van de individuen beginnen met het ontvangen van zeer gerichte, kwaadwillige spear phishing-e-mails, dan levert dit ballonnen op tot een grote gegevenshoofdpijn voor zowel Google als eNom.
Case 3: Spoofed Me
Dit is een kwetsbaarheid voor meerdere netwerken. Elke versie van Windows wordt beïnvloed door dit beveiligingslek. Wat u erover kunt doen. Elke versie van Windows wordt beïnvloed door dit beveiligingslek - wat u erover kunt doen. Wat zou u zeggen als we u zouden vertellen dat uw versie van Windows wordt beïnvloed door een kwetsbaarheid die dateert uit 1997? Helaas is dit waar. Microsoft heeft het nooit gepatcht. Jouw beurt! Meer lezen waardoor een hacker opnieuw gebruik kan maken van de sign-on-systemen van derden die worden gebruikt door zoveel populaire sites. De hacker plaatst een verzoek met een geïdentificeerde kwetsbare service met behulp van het e-mailadres van het slachtoffer, een e-mail die eerder bekend was bij de kwetsbare service. De hacker kan dan de gegevens van de gebruiker met het nep-account vervalsen en toegang krijgen tot het sociale account, compleet met bevestigde e-mailverificatie.
Om ervoor te zorgen dat deze hack werkt, moet de externe site minstens één andere aanmelding voor sociale netwerken ondersteunen met behulp van een andere identiteitsprovider, of de mogelijkheid om persoonlijke referenties voor lokale websites te gebruiken. Het is vergelijkbaar met de Facebook-hack, maar is op verschillende websites te zien, waaronder Amazon, LinkedIn en MYDIGIPASS en kan mogelijk worden gebruikt om met kwaadaardige bedoelingen in te loggen bij gevoelige services.
Het is geen fout, het is een functie
Sommige van de sites die betrokken zijn bij deze manier van aanvallen laten een kritieke kwetsbaarheid eigenlijk niet onder de radar vliegen: ze zijn rechtstreeks in het systeem ingebouwd. Is de configuratie van je standaard router kwetsbaar voor hackers en oplichters? Maakt uw standaard routerconfiguratie u kwetsbaar voor hackers en oplichters? Routers komen zelden in een veilige toestand aan, maar zelfs als u de tijd hebt genomen om uw draadloze (of bekabelde) router correct te configureren, kan dit nog steeds de zwakke schakel zijn. Lees verder . Een voorbeeld is Twitter. Vanilla Twitter is goed, als je een account hebt. Zodra je meerdere accounts beheert, voor verschillende industrieën, een reeks doelgroepen benadert, heb je een applicatie nodig zoals Hootsuite of TweetDeck 6 Gratis manieren om tweets te plannen 6 Gratis manieren om tweets te plannen Twitter gebruiken gaat echt over het hier en nu. Je vindt een interessant artikel, een gave foto, een geweldige video, of misschien wil je gewoon iets delen dat je net hebt bedacht of waar je aan hebt gedacht. Ofwel ... Lees meer.
Deze applicaties communiceren met Twitter via een zeer vergelijkbare inlogprocedure, omdat zij ook directe toegang tot uw sociale netwerk nodig hebben en gebruikers worden gevraagd dezelfde rechten te verlenen. Het creëert een moeilijk scenario voor veel sociale netwerkproviders omdat apps van derden zoveel tot de sociale sfeer leiden, maar toch duidelijk veiligheidsproblemen creëren voor zowel gebruiker als provider.
Naar boven afronden
We hebben drie-en-een-bit sociale inlogkwetsbaarheden geïdentificeerd die u nu kunt identificeren en hopelijk kunt voorkomen. Social sign-in hacks zullen niet zomaar opdrogen. De mogelijke uitbetaling voor hackers 4 Top Hackergroepen en wat ze willen 4 Top Hackergroepen en wat ze willen Het is gemakkelijk om hackergroepen te zien als een soort romantische achterzaalrevolutionairen. Maar wie zijn ze echt? Waar staan ze voor en welke aanvallen hebben ze in het verleden uitgevoerd? Read More is te groot, en wanneer massale technologieën bedrijven zoals Facebook weigeren om in het belang van hun gebruikers te handelen, opent het in feite de deur en laat ze hun voeten vegen op de deurmat voor gegevensprivacy.
Is uw sociale account gehackt door een derde partij? Wat is er gebeurd? Hoe ben je hersteld?
Afbeelding Krediet: binaire code Via Shutterstock, Structuur via Pixabay