Ana Sayfa Güvenlik Facebook ve Google Web Sitesi Girişleri Veri Hırsızlığına Nasıl Yol Açabilir?

Facebook ve Google Web Sitesi Girişleri Veri Hırsızlığına Nasıl Yol Açabilir?

  • Lesley Fowler
  • 0
  • 3157
  • 87
reklâm

Facebook ile giriş. Google ile giriş yapın. Web siteleri düzenli olarak ziyaret etme ve kişisel veri pastasından bir dilim kapmalarını sağlama kolaylığı ile oturum açma isteğimizi arttırmaktadır. Ama ne pahasına olursa olsun? Bir güvenlik araştırmacısı kısa süre önce ABD’deki bir güvenlik açığını keşfetti. Facebook ile giriş özellik binlerce sitede bulundu. Benzer şekilde, Google App etki alanı adı arabirimindeki bir hata yüzbinlerce kişiye özel verileri halka maruz bıraktı.

Bunlar, evdeki en büyük iki teknoloji isminden iki tanesi ciddi meselelerdir. Bu konular uygun bir şekilde ele alınacak ve kırılganlıklar artacaktır, ancak kamuoyuna yeterli farkındalık veriliyor mu? Her bir olayı ve web güvenliğiniz için ne anlama geldiğine bakalım.

1. Durum: Facebook ile giriş yapın

Facebook ile Giriş güvenlik açığı, hesaplarınızı - ancak gerçek Facebook şifrenizi değil - ve yüklediğiniz üçüncü taraf uygulamalarını ortaya çıkarır Bit.ly, Mashable, Vimeo, About.me, ve başkalarının ev sahibi.

Sakurity güvenlik araştırmacısı Egor Homakov tarafından keşfedilen kritik hata, bilgisayar korsanlarının Facebook kodunda bir gözetimi kötüye kullanmalarına izin veriyor. Kusur uygun bir eksiklikten kaynaklanır Siteler Arası İstek Sahteciliği (CSFR) üç farklı işlem için koruma: Facebook Login, Facebook Logout ve Üçüncü Taraf Hesap Bağlantısı. Güvenlik açığı, temel olarak istenmeyen bir tarafın kimliği doğrulanmış bir hesapta eylem gerçekleştirmesine izin verir. Bunun neden önemli bir sorun olacağını görebilirsiniz..

Ancak Facebook, henüz çok sayıda siteyle kendi uyumluluğunu tehlikeye atacak olduğundan, sorunu ele almak için çok az şey yapmayı seçti. Üçüncü sorun, ilgili herhangi bir web sitesi sahibi tarafından çözülebilir, ancak ilk ikisi yalnızca Facebook kapısındadır.

Facebook tarafından yapılan eylem eksikliğini daha da örneklendirmek için Homakov, RECONNECT adlı bir bilgisayar korsanları aracı sunarak sorunu daha da ileriye götürdü. Bu, hackerların üçüncü taraf sitelerdeki hesapları ele geçirmek için kullanılan özel URL'ler oluşturmasını ve eklemesini sağlayarak hatayı istismar eder. Homakov, aracı serbest bırakmak için sorumsuz olarak adlandırılabilir. İyi bir Hacker ve Kötü bir Hacker Arasındaki Fark Nedir? [Görüş] İyi bir Hacker ve Kötü bir Hacker Arasındaki Fark Nedir? [Görüş] Her şimdi ve sonra, hackerların siteleri ele geçirmesi, çok sayıda programdan istifade etmesi veya ait olmamaları gereken yüksek güvenlikli alanlara girme tehlikesiyle karşı karşıya olduğu tehditlerinde bir şeyler duyuyoruz. Ancak, eğer…, ama suçlama, Facebook'un bu güvenlik açığını gidermeyi reddetmesine dayanıyor bir yıl önce gün ışığına çıkarıldı.

Bu arada, uyanık kal. Spam görünümlü sayfalardan gelen güvensiz bağlantıları tıklamayın ya da tanımadığınız kişilerin arkadaşlık isteklerini kabul etmeyin. Facebook ayrıca şöyle bir açıklama yaptı:

“Bu iyi anlaşılmış bir davranış. Login kullanan site geliştiricileri, en iyi uygulamalarımızı takip ederek ve OAuth Login için sağladığımız 'state' parametresini kullanarak bu sorunu önleyebilir.”

Teşvik edici.

Senaryo 1a: Beni Kim Dost Etmedi?

Diğer Facebook kullanıcıları bir başkası için av düşüyor “hizmet” üçüncü taraf OAuth giriş kimlik bilgisi hırsızlığı avını. OAuth girişi, kullanıcıların güvenlik duvarını koruyarak herhangi bir üçüncü taraf uygulamasına veya hizmetine şifrelerini girmelerini engellemek için tasarlanmıştır.

Gibi hizmetler UnfriendAlert çevrimiçi dostluğunu kimin bıraktığını keşfetmeye çalışan bireyleri avlayın, bireylerden giriş bilgilerini girmelerini isteyin - sonra onları doğrudan kötü amaçlı siteye gönderin yougotunfriended.com. UnfriendAlert, kasıtlı olarak reklam ve kötü amaçlı yazılım yükleyerek Potansiyel Olarak İstenmeyen Bir Program (PUP) olarak sınıflandırıldı.

Ne yazık ki, Facebook böyle hizmetleri tamamen durduramaz, bu yüzden onus uyanık kalmaya devam eden hizmet kullanıcılarının ve gerçek olamayacak kadar iyi görünen şeylere düşmemeli.

2. Durum: Google Apps Hata

İkinci güvenlik açığımız, Google Apps alan adı kayıtlarının ele alınmasındaki bir kusurdan kaynaklanıyor. Daha önce bir web sitesine kaydolduysanız, adınızın, adresinizin, e-posta adresinizin ve diğer önemli özel bilgilerin sağlanmasının süreç için çok önemli olduğunu bilirsiniz. Kayıt işleminden sonra, yeterli zamanı olan herhangi bir kişi Kim Bu genel bilgileri bulmak için, kayıt sırasında kişisel verilerinizi gizli tutmak için bir talepte bulunmadığınız sürece. Bu özellik genellikle bir ücret karşılığında gelir ve tamamen isteğe bağlıdır.

ENom aracılığıyla site kaydedenler ve Özel bir Whois istemek, verilerinin 18 aylık bir süre zarfında yavaşça sızdırıldığını buldu. 19 Şubat'ta keşfedilen yazılım hatasıinci beş gün sonra takıldı ve bir kayıt her yenilendiğinde özel verileri sızdırdı ve potansiyel olarak özel şahısları herhangi bir sayıda veri koruma sorununa maruz bıraktı.

282.000 toplu kayıt sürümüne erişmek kolay değildir. Web üzerinde rastlamak olmaz. Ancak şimdi Google’ın kayıtlarında silinmez bir leke ve İnternet’in engin örneklerinden eşit derecede silinmez. Bireylerin% 5'i,% 10'u veya% 15'i yüksek oranda hedeflenmiş, kötü niyetli mızrak phishing e-postaları almaya başlarsa, bu hem Google hem de eNom için büyük bir veri baş ağrısına yol açar..

Durum 3: Beni Sahte

Bu, birden çok ağ güvenlik açığıdır. Her Windows Sürümü Bu Güvenlik Açığından Etkilenir - Bununla İlgili Yapabilecekleriniz. Windows'un Her Sürümünde Bu Güvenlik Açığı - Bununla İlgili Yapabilecekleriniz Etkilenir. Size Windows sürümünüzün 1997 yılına kadar uzanan bir güvenlik açığından etkilendiğini söylesek ne söylersiniz? Maalesef, bu doğru. Microsoft basitçe hiçbir zaman onu yamadı. Senin sıran! Bir bilgisayar korsanının üçüncü taraf oturumunu bir çok popüler site tarafından kullanılan sistemlerden tekrar yararlanmasına izin vermek. Bilgisayar korsanı, mağdurun e-posta adresini kullanarak, daha önce güvenlik açığı olan tarafın bildiği bir güvenlik açığıyla tanımlanmış bir hizmet talebinde bulunur. Hacker daha sonra sahte hesapla kullanıcının bilgilerini bozabilir ve onaylanan e-posta doğrulaması ile birlikte sosyal hesaba erişebilir.

Bu hack'in çalışması için, üçüncü taraf sitenin başka bir kimlik sağlayıcısı veya yerel kişisel web sitesi kimlik bilgilerini kullanma özelliğini kullanarak en az bir diğer sosyal ağ oturumunu desteklemesi gerekir. Bu Facebook kesmek için benzer, ancak Amazon, LinkedIn ve MYDIGIPASS gibi daha geniş bir web sitesinde, diğerlerinin yanı sıra görülmüştür ve kötü niyetli amaçlı hassas hizmetlere giriş yapmak için kullanılabilir..

Bir Kusur Değil, Bir Özellik

Bu saldırı modunda yer alan sitelerin bazıları aslında radarın altında kritik bir güvenlik açığına neden olmasına izin vermedi: doğrudan sisteme yerleştirildiler Varsayılan Router Konfigürasyonunuz Hacker ve Dolandırıcılara Sizi Hassas Kılıyor mu? Varsayılan Router Konfigürasyonunuz Hacker ve Dolandırıcılığa Karşı Hassas Olmanızı Sağlar mı? Yönlendiriciler nadiren güvenli bir duruma gelirler, ancak kablosuz (veya kablolu) yönlendiricinizi doğru bir şekilde yapılandırmak için zaman ayırmış olsanız bile, yine de zayıf bağlantı olduğu kanıtlanabilir. . Bir örnek Twitter. Vanilya Twitter iyi, eğer bir hesabın varsa. Birden fazla hesabı yönettiğinizde, farklı endüstriler için bir dizi izleyici kitlesine yaklaşırken, Hootsuite veya TweetDeck gibi bir uygulamaya ihtiyacınız var. Tweet'leri Planlamak İçin 6 Ücretsiz Yol İlginç bir makale, harika bir resim, harika bir video bulursunuz veya belki de henüz yeni düşündüğünüz bir şeyi paylaşmak istersiniz. Ya ... .

Bu uygulamalar Twitter ile sosyal ağınıza doğrudan erişmeleri gerektiğine benzer bir giriş prosedürü kullanarak iletişim kuruyor ve kullanıcılardan aynı izinleri sağlamaları isteniyor. Üçüncü taraf uygulamalar sosyal alana çok fazla şey kattığından, hem kullanıcı hem de sağlayıcı için güvenlik sorunları yarattığı için birçok sosyal ağ sağlayıcısı için zor bir senaryo yaratır.

Hesabı yuvarlamak

Şimdi tanımlamanız ve umarım bunlardan kaçınmanız gereken üç-bitlik bir sosyal oturum açma güvenlik açığı tespit ettik. Sosyal oturum açma korsanları bir gecede kurumayacak. Bilgisayar korsanları için potansiyel kazançlar 4 En İyi Hacker Grupları ve Ne İstiyorlar 4 En İyi Hacker Grupları ve Ne İstiyorlar Hacker gruplarını bir tür romantik arka oda devrimcisi olarak düşünmek kolaydır. Ama gerçekte onlar kim? Neyi temsil ediyorlar ve geçmişte hangi saldırıları gerçekleştirdiler? çok büyük ve Facebook gibi büyük teknolojiler şirketleri kullanıcılarının çıkarlarına çıkarmayı reddettiği zaman, temelde kapıyı açıyor ve ayaklarını veri gizliliği paspasına silmelerine izin veriyor..

Sosyal hesabınız üçüncü bir tarafça tehlikeye girdi mi? Ne oldu? Nasıl kurtardın?

Image Credit: Shutterstock Üzerinden İkili Kod, Pixabay'de Yapı




Henüz no comments

9 En iyi iMessage Oyunları ve Arkadaşlarınızla Nasıl Oynanır
iPhone ve iPad
Seni Daha İyi Bir Kişi Yapabilecek 5 iPhone Uygulaması
iPhone ve iPad
Hassas Tasarım Kurallarını Aşan 5 Büyük Adlı iOS Uygulaması
iPhone ve iPad
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.