Comment les connexions du site facebook et google peuvent mener au vol de données
Se connecter avec Facebook. Connectez-vous avec Google. Sites régulièrement tirer parti de notre désir de vous connecter avec facilité pour nous assurer de visiter et de veiller à ce qu`ils saisissent une tranche de la tarte aux données personnelles. Mais à quel prix? Un chercheur en sécurité a récemment découvert une vulnérabilité dans la Se connecter avec Facebook
Contenu
Ce sont des graves problèmes auxquels font face deux des plus grands noms de technologie des ménages. Bien que ces questions seront traitées avec un malaise approprié et les vulnérabilités patchées, est assez de sensibilisation donnée au public? Regardons chaque cas, et ce que cela signifie pour votre sécurité Web.
Cas 1: Connectez-vous avec Facebook
La vulnérabilité Connectez-vous avec Facebook expose vos comptes - mais pas votre mot de passe réel Facebook - et les applications tierces que vous avez installés, tels que Bit.ly, Mashable, Vimeo, About.me, et foule d`autres.
La faille critique, découverte par Egor Homakov, chercheur de sécurité pour Sakurity, permet aux pirates d`abuser d`un oubli dans le code Facebook. Le défaut provient d`un manque de données appropriées Cross-Site Request Forgery (CSFR) la protection des trois processus différents: Facebook Connexion, Facebook Déconnexion et compte de tiers Connection. La vulnérabilité permet essentiellement une partie non désirable d`effectuer des actions dans un compte authentifié. Vous pouvez voir pourquoi ce serait un problème important.
Pourtant, Facebook ont, encore, élu très peu à faire pour résoudre le problème car il compromettrait leur compatibilité avec un grand nombre de sites. Le troisième problème peut être résolu par tout propriétaire de site concerné, mais les deux premiers sont exclusivement à la porte Facebook.
Video: Facebook Giris Resmi Degistirme Vol 7
Pour illustrer davantage le manque d`action réalisé par Facebook, Homakov a poussé la question plus loin en libérant un outil de pirates nommé REBRANCHER. Cela exploite le bug, laissant les pirates créer et d`insérer des URL personnalisées utilisées pour pirater des comptes sur des sites tiers. Homakov pourrait être appelé irresponsable pour libérer l`outil, mais le blâme réside bel et bien le refus de Facebook pour patcher la vulnérabilité mis au jour il y a plus d`un an.Quelle est la différence entre un bon Hacker & A Bad Hacker? [Opinion]Quelle est la différence entre un bon Hacker & A Bad Hacker? [Opinion]De temps en temps, nous entendons quelque chose dans les nouvelles au sujet des pirates démontaient les sites, exploiter une multitude de programmes, ou menaçant de tortiller leur chemin dans des zones de haute sécurité où ils ne devraient pas appartenir. Mais si...Lire la suite
En attendant, rester vigilant. Ne cliquez pas sur des liens non fiables à partir des pages de type spam prospectifs, ou d`accepter les demandes d`amis de personnes que vous ne connaissez pas. Facebook a également publié une déclaration disant:
«C`est un comportement bien compris. Les développeurs du site à l`aide de connexion peuvent éviter ce problème en suivant nos meilleures pratiques et en utilisant le paramètre « state » que nous fournissons pour OAuth Connexion « .
Encourageant.
Cas 1a: Qui Unfriended?
D`autres utilisateurs de Facebook sont en proie à une autre « service » se nourrissant sur le vol d`informations d`identification de connexion OAuth tiers. La connexion OAuth est conçu pour empêcher les utilisateurs d`entrer leur mot de passe à toute application tierce ou d`un service, le maintien du mur de sécurité.
Des services tels que UnfriendAlert proies sur les personnes qui tentent de découvrir qui a renoncé à leur amitié en ligne, de demander aux gens d`entrer leurs identifiants de connexion - puis de les envoyer directement sur le site malveillant yougotunfriended.com. UnfriendAlert est classé comme un programme potentiellement indésirable (PUP), l`installation intentionnellement adware et les logiciels malveillants.
Malheureusement, Facebook ne peut pas tout à fait arrêter des services comme celui-ci, donc il incombe aux utilisateurs de services à rester vigilants et ne pas tomber des choses qui semblent beau pour être vrai.
Cas n ° 2: Bug Google Apps
Notre deuxième vulnérabilité résulte d`un défaut dans la gestion de Google Apps d`enregistrements de noms de domaine. Si vous avez déjà inscrit un site Web, vous saurez disposition de votre nom, adresse, adresse e-mail et d`autres informations privées importante est essentielle au processus. Après l`enregistrement, toute personne ayant assez de temps peut exécuter un Qui est pour trouver cette information, à moins que vous placez une demande lors de l`inscription pour garder votre privé des données personnelles. Cette fonctionnalité est généralement à un coût, et est entièrement facultative.
Ces personnes inscrivent des sites par eNom et demandant un whois privé trouvé leurs données avaient été peu à peu une fuite sur une période de 18 mois ou ainsi. Le défaut du logiciel, découvert le 19 Févriere et branché cinq jours plus tard, une fuite de données privées à chaque fois qu`un enregistrement a été renouvelé, ce qui pourrait exposer des particuliers à un certain nombre de questions de protection des données.
Accéder à la sortie d`enregistrement 282000 en vrac n`est pas facile. Vous ne heurtera pas à travers elle sur le web. Mais il est une tache indélébile sur les antécédents de Google, et est tout aussi indélébile des vastes étendues de l`Internet. Et si même 5%, 10% ou 15% des personnes commencent à recevoir très ciblées, des e-mails de phishing lance malveillants, ce délivre des ballons dans un casse-tête de données majeure pour Google et eNom.
Cas n ° 3: usurpés Me
C`est un vulnérabilité de réseau multiple permettant à un pirate d`exploiter à nouveau le signe tiers dans les systèmes à effet de levier par tant de sites populaires. Le pirate place une demande avec un service vulnérable identifié en utilisant l`adresse e-mail de la victime, qui est déjà connu au service vulnérable. Le pirate peut alors usurper les détails de l`utilisateur avec le faux compte, l`accès au compte social complet avec la vérification de courriel confirmées.Chaque version de Windows est affectée par cette vulnérabilité - Ce que vous pouvez faire.Chaque version de Windows est affectée par cette vulnérabilité - Ce que vous pouvez faire.Que diriez-vous si l`on vous dit que votre version de Windows est affectée par une vulnérabilité qui remonte à 1997? Malheureusement, cela est vrai. Microsoft tout simplement jamais patché il. À ton tour!Lire la suite
Pour ce hack fonctionne, le site tiers doit prendre en charge au moins un autre signe en utilisant un autre fournisseur d`identité réseau social, ou la possibilité d`utiliser les informations d`identification locales de site Web personnel. Il est similaire à la Facebook hack, mais il a été vu à travers une large gamme de sites Web, y compris Amazon, LinkedIn, et MYDIGIPASS entre autres, et pourrait être utilisé pour se connecter à des services sensibles avec une intention malveillante.
Video: MÉLENCHON Double meeting à Lyon et Paris #JLMHologramme Y
Il est pas un défaut, il est une fonctionnalité
Certains des sites impliqués dans ce mode d`attaque n`ont pas encore fait une vulnérabilité critique voler sous le radar: ils sont construit directement dans le système. Un exemple est Twitter. Vanilla Twitter est bien, si vous avez un compte. Une fois que vous gérez plusieurs comptes, pour différentes industries, l`approche d`un éventail de publics, vous avez besoin d`une application comme HootSuite ou TweetDeck.Votre routeur par défaut Configuration Pour vous rendre vulnérable aux pirates informatiques & Escrocs?Votre routeur par défaut Configuration Pour vous rendre vulnérable aux pirates informatiques & Escrocs?Les routeurs arrivent rarement dans un état sûr, mais même si vous avez pris le temps de configurer votre routeur sans fil (ou filaire) correctement, il peut encore se révéler être le maillon faible.Lire la suite
Ces applications communiquent avec Twitter en utilisant une procédure de connexion très similaire car ils ont besoin aussi un accès direct à votre réseau social, et les utilisateurs sont invités à fournir les mêmes autorisations. Il crée un scénario difficile pour de nombreux fournisseurs de réseaux sociaux comme des applications tierces apportent tant à la sphère sociale, mais créer clairement les inconvénients de sécurité pour les utilisateurs et les fournisseurs.
Roundup
Nous avons identifié trois et un bit de signe dans la vie sociale des vulnérabilités, vous devriez maintenant être en mesure d`identifier et nous espérons éviter. hacks identifier sociaux ne vont pas se tarir du jour au lendemain. le gains potentiels pour les pirates est trop grande, et lorsque les entreprises de technologies massives telles que Facebook refusent d`agir dans les meilleurs intérêts de leurs utilisateurs, il ouvre essentiellement la porte et de les laisser essuyer les pieds sur le paillasson de la confidentialité des données.4 premiers groupes de pirates informatiques et ce qu`ils veulent4 premiers groupes de pirates informatiques et ce qu`ils veulentIl est facile de penser à des groupes de pirates informatiques comme une sorte de révolutionnaires en arrière-chambre romantique. Mais qui sont-ils vraiment? Qu`est-ce qu`ils représentent, et quelles attaques ils ont mené dans le passé?Lire la suite
Votre compte sociale compromise par un tiers? Qu`est-il arrivé? Comment avez-vous récupérer?