פרסומת

התחבר עם פייסבוק. התחבר באמצעות Google. אתרי אינטרנט ממנפים באופן קבוע את הרצון שלנו להיכנס בקלות בכדי להבטיח שאנו מבקרים, וכדי להבטיח שהם תופסים פרוסה מעוגת הנתונים האישיים. אבל באיזה עלות? חוקר אבטחה גילה לאחרונה פגיעות ב- התחבר עם פייסבוק תכונה שנמצאת באלפי אתרים רבים. באופן דומה, באג בממשק שמות התחום של גוגל אפליקציה חשף מאות אלפי אנשים נתונים פרטיים לציבור.

אלה נושאים רציניים העומדים בפני שניים מהשמות הגדולים ביותר בתחום הטכנולוגי הביתי. בעוד שנושאים אלה יטופלו באי נוחות מתאימה והפגיעויות תוקנו, האם ניתן מספיק מודעות לציבור? בואו נסתכל על כל מקרה, ומה המשמעות של אבטחת האינטרנט שלך.

מקרה 1: התחברות באמצעות פייסבוק

הפגיעות כניסה עם פייסבוק חושפת את החשבונות שלך - אך לא את סיסמת הפייסבוק שלך בפועל - ואת היישומים של צד ג 'שהתקנת, כגון Bit.ly, Mashable, Vimeo, About.me, ושלל אחרים.

הפגם הקריטי, שגילה Egor Homakov, חוקר האבטחה ב- Sakurity, מאפשר להאקרים לרעה פיקוח בקוד הפייסבוק. הפגם נובע מחוסר מתאים זיוף בקשר חוצה-אתרים (CSFR) לשלושה תהליכים שונים: כניסה לפייסבוק, יציאה מהפייסבוק וחיבור צד שלישי. הפגיעות מאפשרת למעשה לצד לא רצוי לבצע פעולות בחשבון מאומת. אתה יכול לראות מדוע זה יהיה נושא משמעותי.

instagram viewer

muo-security-smb- גניבת סיסמא

עם זאת, פייסבוק בחרו, נכון להיום, לעשות מעט מאוד כדי לטפל בנושא, מכיוון שזה יפגע בתאימות שלהם למספר עצום של אתרים. את הגיליון השלישי ניתן לתקן על ידי כל בעל אתר מודאג, אך השניים הראשונים מונחים באופן בלעדי בדלת הפייסבוק.

כדי להדגים עוד יותר את חוסר הפעולה שביצעה פייסבוק, Homakov דחף את הנושא עוד יותר על ידי שחרור כלי האקרים בשם RECONNECT. זה מנצל את הבאג, ומאפשר להאקרים ליצור ולהוסיף כתובות URL מותאמות המשמשות לחטיפת חשבונות באתרי צד ג '. אפשר לקרוא להומאקוב לא אחראי לשחרור הכלי מה ההבדל בין האקר טוב להאקר רע? [דעה]מדי פעם אנו שומעים חדשות בחדשות על האקרים שמורידים אתרים, מנצלים את א ריבוי תוכניות, או מאיימים להתנדנד בדרכם לאזורים עם אבטחה גבוהה שבה הם נמצאים לא צריך להיות שייך. אבל אם... קרא עוד , אך האשמה נעוצה במקביל בסירובה של פייסבוק לתקן את הפגיעות שהובא לפני יותר משנה.

התחבר לפייסבוק

בינתיים, הישאר על המשמר. אל תלחץ על קישורים לא מהימנים מדפים בעלי מראה ספאם, או קבל בקשות חברות מאנשים שאינך מכיר. פייסבוק פרסמה גם הודעה בה נכתב:

"זו התנהגות מובנת היטב. מפתחי אתרים המשתמשים בכניסה יכולים למנוע בעיה זו על ידי ביצוע שיטות העבודה המומלצות שלנו ושימוש בפרמטר 'המדינה' שאנו מספקים לצורך כניסה ל- OAuth. "

מעודד.

מקרה 1 א: מי לא אהב אותי?

משתמשי פייסבוק אחרים נופלים טרף אחר "שירות" המנצל אחר גניבת תעודות כניסה של צד שלישי OAuth. כניסה ל- OAuth נועדה למנוע ממשתמשים להזין את הסיסמה שלהם לכל יישום או שירות של צד שלישי, תוך שמירה על חומת האבטחה.

הודע על חבר

שירותים כגון לא חבר טרף אנשים המנסים לגלות מי ויתר על חברותם המקוונת, מבקש מאנשים להיכנס לתעודות הכניסה שלהם - ואז לשלוח אותם היישר לאתר זדוני yougotunriended.com. UnriendAlert מסווגת כתוכנית פוטנציאלית לא רצויה (PUP), שמתקינה בכוונה תוכנות פרסום ותוכנות זדוניות.

לרוע המזל, פייסבוק לא יכולה להפסיק לחלוטין שירותים כאלה, כך שהאיחוד הוא על משתמשי השירות להישאר ערניים ולא ליפול לדברים שנראים טובים כנכונים.

מקרה 2: באג של Google Apps

הפגיעות השנייה שלנו נובעת מפגם בטיפול ב- Google Apps ברישומי שמות מתחם. אם רשמת אי פעם אתר, תדע שמספר שמך, כתובתך, כתובת דוא"ל ומידע פרטי אחר חשוב הוא חיוני לתהליך. לאחר ההרשמה כל מי שיש לו מספיק זמן יכול לרוץ א מי זה למצוא מידע ציבורי זה, אלא אם כן אתה מגיש בקשה במהלך ההרשמה לשמירת פרטיך האישיים. תכונה זו בדרך כלל מגיעה בעלות, והיא אופציונלית לחלוטין.

היכנס באמצעות Google

אותם אנשים שרושמים אתרים באמצעות eNom ו בבקשה ל- Whois פרטי מצא כי לאט לאט דלפו הנתונים שלהם במשך 18 חודשים בערך. ליקוי התוכנה התגלה ב -19 בפברוארth והתחבר לחמישה ימים לאחר מכן, הדליף נתונים פרטיים בכל פעם שחודש רישום, מה שעלול לחשוף אנשים פרטיים למספר סוגיות של הגנה על מידע.

חיפוש ב- Whois

הגישה ל- 282,000 שחרור רשומות בכמויות גדולות אינה פשוטה. לא תיתקל בזה באינטרנט. אולם כעת זוהי פגם בלתי ניתן להחלפה ברשומה של גוגל, והיא אינה ניתנת למחיקה באותה מידה מהשטחים העצומים של האינטרנט. ואם אפילו 5%, 10% או 15% מהאנשים יתחילו לקבל דוא"ל דיוג חנית ממוקד מאוד, זדוני, זה מפיץ בלונים לכאב ראש נתונים משמעותי עבור גוגל וגם עבור eNom.

מקרה 3: זיוף אותי

זה פגיעות מרובת רשת הפגיעות הזו מושפעת מכל גרסה של Windows - מה אתה יכול לעשות בנידון.מה היית אומר אם היינו אומרים לך כי גירסת Windows שלך מושפעת מפגיעות שתוארך לשנת 1997? למרבה הצער, זה נכון. מיקרוסופט פשוט מעולם לא טפלה את זה. תורך! קרא עוד מה שמאפשר להאקר לנצל שוב את מערכות הכניסה של צד שלישי הממונפות על ידי כל כך הרבה אתרים פופולריים. ההאקר מגיש בקשה עם שירות פגיע המזוהה באמצעות כתובת הדוא"ל של הקורבן, כזו שידועה בעבר לשירות הפגיע. ההאקר יכול אז לזייף את פרטי המשתמש בחשבון המזויף, ולקבל גישה לחשבון החברתי עם אימות דוא"ל מאושר.

אבטחה נטו

כדי שפרוץ זה יעבוד, על אתר הצד השלישי לתמוך לפחות בכניסה אחת לרשת חברתית אחרת באמצעות ספק זהות אחר, או באפשרות להשתמש בתעודות אישיים מקומיות באתר. זה דומה לפריצה של פייסבוק, אך נצפה על פני מגוון רחב יותר של אתרים, כולל אמזון, לינקדאין ו- MYDIGIPASS בין היתר, וניתן להשתמש בהן בכניסה לשירותים רגישים באמצעות כוונה זדונית.

זה לא פגם, זו תכונה

חלק מהאתרים המעורבים במצב התקפה זה לא מאפשרים בפגיעות קריטית לעוף מתחת לרדאר: הם כן מובנה ישירות במערכת האם תצורת הנתב המוגדרת כברירת מחדל גורמת לך להיות פגיע בפני האקרים ורמאים?נתבים מגיעים לעיתים רחוקות למצב מאובטח, אך גם אם לקחת את הזמן להגדיר נכון את הנתב האלחוטי (או החוטי), זה עדיין יכול להוכיח את החוליה החלשה. קרא עוד . דוגמא אחת היא טוויטר. וניל טוויטר הוא טוב, אם יש לך חשבון אחד. ברגע שאתה מנהל חשבונות מרובים, עבור תעשיות שונות, ומתקרב למגוון קהלים, אתה זקוק ליישום כמו Hootsuite, או TweetDeck 6 דרכים בחינם לתזמון ציוציםהשימוש בטוויטר באמת קשור לכאן ועכשיו. אתה מוצא מאמר מעניין, תמונה מגניבה, סרטון מדהים, או אולי אתה פשוט רוצה לשתף משהו שרק מימשת או חשבת עליו. או ... קרא עוד .

מבנה

יישומים אלה מתקשרים עם טוויטר באמצעות נוהל התחברות דומה מאוד שכן גם הם זקוקים לגישה ישירה לרשת החברתית שלכם, והמשתמשים מתבקשים לספק את אותן הרשאות. זה יוצר תרחיש קשה עבור ספקי רשת חברתית רבים מכיוון שאפליקציות של צד שלישי מביאות כל כך הרבה לתחום החברתי, ועם זאת מייצרות באופן ברור אי נוחות אבטחתית למשתמש וגם לספק.

מתכנס

זיהינו פגיעויות כניסה חברתיות שלוש וקצת, שכעת עליכם להיות מסוגלים לזהות ולקוות להימנע מהן. פריצות לכניסה לחברה לא יתייבשו בן לילה. ה שכר פוטנציאלי להאקרים 4 קבוצות האקרים המובילות ומה שהם רוציםקל לחשוב על קבוצות האקרים כאל מהפכנים רומנטיים בחדר האחורי. אבל מי הם באמת? במה הם עומדים, ואילו התקפות הם ביצעו בעבר? קרא עוד זה גדול מדי, וכשחברות טכנולוגיות מאסיביות כמו פייסבוק מסרבות לפעול לטובתם מהמשתמשים שלהם, זה בעצם פותח את הדלת ומאפשר להם לנגב את הרגליים על פרטיות הנתונים שפשפת.

האם החשבון החברתי שלך נפגע על ידי צד שלישי? מה קרה? איך התאוששת?

אשראי תמונה:קוד בינארי דרך Shutterstock, מבנה באמצעות Pixabay

גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.