Propaganda

Entrar com o Facebook. Entre com o Google. Os sites aproveitam regularmente nosso desejo de fazer login com facilidade para garantir a visita e garantir que eles coletem uma fatia da torta de dados pessoais. Mas a que custo? Um pesquisador de segurança descobriu recentemente uma vulnerabilidade no Entrar com o Facebook recurso encontrado em muitos milhares de sites. Da mesma forma, um bug na interface de nome de domínio do Google App expôs centenas de milhares de dados particulares de indivíduos ao público.

Esses são problemas sérios enfrentados por dois dos maiores nomes de tecnologia doméstica. Embora essas questões sejam tratadas com inquietação apropriada e as vulnerabilidades corrigidas, a conscientização é dada ao público? Vamos analisar cada caso e o que isso significa para sua segurança na web.

Caso 1: Faça login com o Facebook

A vulnerabilidade de Login com Facebook expõe suas contas - mas não sua senha real do Facebook - e os aplicativos de terceiros que você instalou, como Bit.ly, Mashable, Vimeo, About.mee host de outras pessoas.

instagram viewer

A falha crítica, descoberta por Egor Homakov, pesquisador de segurança da Sakurity, permite que hackers abusem de uma supervisão no código do Facebook. A falha decorre da falta de recursos adequados Falsificação de solicitação entre sites (CSFR) para três processos diferentes: logon no Facebook, logout no Facebook e conexão de conta de terceiros. A vulnerabilidade essencialmente permite que uma parte indesejada execute ações em uma conta autenticada. Você pode ver por que isso seria um problema significativo.

muo-security-smb-password-theft

No entanto, o Facebook ainda optou por fazer muito pouco para resolver o problema, pois comprometeria sua própria compatibilidade com um grande número de sites. O terceiro problema pode ser resolvido por qualquer proprietário de site em questão, mas os dois primeiros ficam exclusivamente na porta do Facebook.

Para exemplificar ainda mais a falta de ação do Facebook, Homakov avançou ainda mais com o lançamento da ferramenta de hackers RECONNECT. Isso explora o bug, permitindo que hackers criem e insiram URLs personalizadas usadas para invadir contas em sites de terceiros. Homakov poderia ser chamado irresponsável por liberar a ferramenta Qual é a diferença entre um hacker bom e um hacker ruim? [Opinião]De vez em quando, ouvimos algo nas notícias sobre hackers invadindo sites, explorando um programas ou ameaçando abrir caminho para áreas de alta segurança onde eles não deveria pertencer. Mas se... consulte Mais informação , mas a culpa está diretamente na recusa do Facebook em corrigir a vulnerabilidade trouxe à luz mais de um ano atrás.

Entrar no Facebook

Enquanto isso, permaneça vigilante. Não clique em links não confiáveis ​​de páginas com aparência de spam ou aceite solicitações de amizade de pessoas que você não conhece. O Facebook também divulgou um comunicado dizendo:

“Esse é um comportamento bem compreendido. Os desenvolvedores do site que usam o Login podem evitar esse problema, seguindo nossas práticas recomendadas e usando o parâmetro "state" que fornecemos para o Login do OAuth ".

Encorajando.

Caso 1a: Quem Me Amigou?

Outros usuários do Facebook estão sendo vítimas de outro "serviço" que roubam credenciais de logon do OAuth de terceiros. O login do OAuth foi projetado para impedir que os usuários digitem suas senhas em qualquer aplicativo ou serviço de terceiros, mantendo o muro de segurança.

Cancelar amizade

Serviços como UnfriendAlert atacar indivíduos que tentam descobrir quem abandonou sua amizade on-line, pedindo que eles insiram suas credenciais de login - e depois enviando-os diretamente para um site malicioso yougotunfriended.com. O UnfriendAlert é classificado como um Programa Potencialmente Indesejável (PUP), instalando intencionalmente adware e malware.

Infelizmente, o Facebook não pode interromper completamente serviços como esse, portanto, o ônus é que os usuários permaneçam vigilantes e não se apaixonar por coisas que parecem boas demais para ser verdade.

Caso 2: bug do Google Apps

Nossa segunda vulnerabilidade decorre de uma falha no processamento de registros de nomes de domínio pelo Google Apps. Se você já registrou um site, saberá o fornecimento de seu nome, endereço, endereço de e-mail e outras informações privadas importantes são essenciais para o processo. Após o registro, qualquer pessoa com tempo suficiente pode executar um Quem é para encontrar esta informação pública, a menos que você faça uma solicitação durante o registro para manter seus dados pessoais em sigilo. Esse recurso geralmente tem um custo e é totalmente opcional.

Faça login no Google

Os indivíduos que registram sites através do eNom e solicitar que um Whois particular descobrisse que seus dados haviam vazado lentamente durante um período de aproximadamente 18 meses. O defeito do software, descoberto em 19 de fevereiroº e conectado cinco dias depois, vazaram dados privados cada vez que um registro foi renovado, potencialmente expondo indivíduos a qualquer número de problemas de proteção de dados.

Pesquisa Whois

Não é fácil acessar o lançamento de 282.000 registros em massa. Você não vai encontrar na Web. Mas agora é uma mancha indelével no histórico do Google e é igualmente indelével nas vastas faixas da Internet. E se até 5%, 10% ou 15% das pessoas começarem a receber e-mails de spear phishing mal-intencionados e altamente direcionados, isso causa uma grande dor de cabeça de dados para o Google e o eNom.

Caso 3: Me enganou

Isto é um vulnerabilidade de rede múltipla Todas as versões do Windows são afetadas por esta vulnerabilidade - o que você pode fazer sobre isso.O que você diria se disséssemos que sua versão do Windows é afetada por uma vulnerabilidade que remonta a 1997? Infelizmente, isso é verdade. A Microsoft simplesmente nunca o corrigiu. Sua vez! consulte Mais informação permitindo que um hacker explore novamente os sistemas de login de terceiros aproveitados por muitos sites populares. O hacker faz uma solicitação com um serviço vulnerável identificado usando o endereço de e-mail da vítima, um que é conhecido anteriormente pelo serviço vulnerável. O hacker pode falsificar os detalhes do usuário com a conta falsa, obtendo acesso à conta social com verificação confirmada por e-mail.

Segurança de rede

Para que esse truque funcione, o site de terceiros deve oferecer suporte a pelo menos uma outra conexão de rede social usando outro provedor de identidade ou a capacidade de usar credenciais de sites pessoais locais. É semelhante ao hack do Facebook, mas já foi visto em uma variedade maior de sites, incluindo Amazon, LinkedIn e MYDIGIPASS, entre outros, e pode ser usado para entrar em serviços confidenciais com intenção maliciosa.

Não é uma falha, é uma característica

Alguns dos sites implicados nesse modo de ataque não deixaram uma vulnerabilidade crítica passar despercebida: eles são construído diretamente no sistema A configuração padrão do seu roteador o torna vulnerável a hackers e scammers?Os roteadores raramente chegam em um estado seguro, mas, mesmo que você tenha gasto tempo para configurar corretamente o roteador sem fio (ou com fio), ele ainda pode ser o elo mais fraco. consulte Mais informação . Um exemplo é o Twitter. O Twitter de baunilha é Boa, se você tiver uma conta. Depois de gerenciar várias contas, para diferentes setores, abordando vários públicos, você precisa de um aplicativo como Hootsuite ou TweetDeck 6 maneiras gratuitas de agendar tweetsUsar o Twitter é realmente sobre o aqui e agora. Você encontra um artigo interessante, uma foto bacana, um vídeo incrível ou talvez apenas queira compartilhar algo que acabou de realizar ou pensar. Ou... consulte Mais informação .

Estrutura

Esses aplicativos se comunicam com o Twitter usando um procedimento de login muito semelhante, pois também precisam de acesso direto à sua rede social, e os usuários são solicitados a fornecer as mesmas permissões. Isso cria um cenário difícil para muitos provedores de redes sociais, pois aplicativos de terceiros trazem muito para a esfera social, mas claramente criam inconvenientes de segurança para o usuário e o provedor.

Arredondar para cima

Nós identificamos vulnerabilidades de entrada social de três e um bit que você deve poder identificar e evitar. Os hacks de login social não secam da noite para o dia. o pagamento potencial para hackers 4 principais grupos de hackers e o que eles queremÉ fácil pensar nos grupos de hackers como uma espécie de revolucionário romântico dos bastidores. Mas quem são eles realmente? O que eles representam e quais ataques eles realizaram no passado? consulte Mais informação é ótimo demais e, quando empresas de tecnologias massivas, como o Facebook, se recusam a agir no melhor interesse de seus usuários, é basicamente abrir a porta e permitir que eles limpem os pés na privacidade dos dados capacho.

Sua conta social foi comprometida por terceiros? O que aconteceu? Como você se recuperou?

Crédito de imagem:Código binário Via Shutterstock, Estrutura via Pixabay

Gavin é escritor sênior do MUO. Ele também é o editor e gerente de SEO do site irmão focado em criptografia da MakeUseOf, Blocks Decoded. Ele tem uma redação contemporânea BA (Hons) com práticas de arte digital saqueadas nas montanhas de Devon, além de mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá.