Publicité
Se connecter avec Facebook. Connectez-vous avec Google. Les sites Web tirent régulièrement parti de notre désir de nous connecter facilement pour nous assurer que nous visitons et pour nous assurer qu'ils saisissent une part du gâteau des données personnelles. Mais à quel prix? Un chercheur en sécurité a récemment découvert une vulnérabilité dans le Se connecter avec Facebook fonctionnalité trouvée sur plusieurs milliers de sites. De même, un bogue dans l'interface du nom de domaine de l'application Google a exposé au public des centaines de milliers de données privées.
Ce sont de graves problèmes auxquels sont confrontés deux des plus grands noms de la technologie domestique. Alors que ces problèmes seront traités avec le malaise approprié et les vulnérabilités corrigées, la sensibilisation du public est-elle suffisante? Examinons chaque cas et ce que cela signifie pour votre sécurité Web.
Cas 1: Connectez-vous avec Facebook
La vulnérabilité de connexion avec Facebook expose vos comptes - mais pas votre mot de passe Facebook réel - et les applications tierces que vous avez installées, telles que
Bit.ly, Mashable, Vimeo, About.meet une foule d'autres.La faille critique, découverte par Egor Homakov, chercheur en sécurité pour Sakurity, permet aux pirates informatiques d'abuser d'un oubli du code Facebook. La faille provient d'un manque de Falsification de demande intersite (CSFR) pour trois processus différents: connexion Facebook, déconnexion Facebook et connexion à un compte tiers. La vulnérabilité permet essentiellement à une partie indésirable d'effectuer des actions au sein d'un compte authentifié. Vous pouvez voir pourquoi ce serait un problème important.
Pourtant, Facebook a, jusqu'à présent, choisi de faire très peu pour résoudre le problème, car cela compromettrait sa propre compatibilité avec un grand nombre de sites. Le troisième problème peut être résolu par tout propriétaire de site Web concerné, mais les deux premiers se trouvent exclusivement à la porte Facebook.
Pour illustrer davantage le manque d'action de Facebook, Homakov a poussé le problème plus loin en publiant un outil de pirates nommé RECONNECT. Cela exploite le bogue, permettant aux pirates de créer et d'insérer des URL personnalisées utilisées pour détourner des comptes sur des sites tiers. Homakov pourrait être appelé irresponsable de libérer l'outil Quelle est la différence entre un bon pirate informatique et un mauvais pirate informatique? [Opinion]De temps en temps, nous entendons quelque chose dans les nouvelles au sujet des pirates qui détruisent des sites, exploitent un multitude de programmes, ou menaçant de se frayer un chemin dans des zones de haute sécurité où ils ne devrait pas appartenir. Mais si... Lire la suite , mais la faute en revient entièrement au refus de Facebook de corriger la vulnérabilité mis au jour il y a plus d'un an.
En attendant, restez vigilant. Ne cliquez pas sur les liens non fiables des pages ressemblant à des spams ou n'acceptez pas les demandes d'amis de personnes que vous ne connaissez pas. Facebook a également publié une déclaration disant:
«C'est un comportement bien compris. Les développeurs de sites utilisant Login peuvent éviter ce problème en suivant nos meilleures pratiques et en utilisant le paramètre "état" que nous fournissons pour OAuth Login. "
Encourageant.
Cas 1a: qui ne m'a pas aidé?
D'autres utilisateurs de Facebook sont en proie à un autre «service» s'attaquant au vol tiers des informations d'identification OAuth. La connexion OAuth est conçue pour empêcher les utilisateurs d'entrer leur mot de passe dans toute application ou service tiers, en maintenant le mur de sécurité.
Des services tels que UnfriendAlert s'attaquer aux individus qui tentent de découvrir qui a renoncé à leur amitié en ligne, en leur demandant de saisir leurs identifiants de connexion, puis de les envoyer directement sur un site malveillant yougotunfriended.com. UnfriendAlert est classé comme un programme potentiellement indésirable (PUP), installant intentionnellement des logiciels publicitaires et des logiciels malveillants.
Malheureusement, Facebook ne peut pas arrêter complètement des services comme celui-ci, il incombe donc aux utilisateurs des services de rester vigilants et ne pas tomber dans des choses qui semblent belles pour être vraies.
Cas 2: bogue Google Apps
Notre deuxième vulnérabilité provient d'une faille dans la gestion par Google Apps des enregistrements de noms de domaine. Si vous avez déjà enregistré un site Web, vous saurez que la fourniture de votre nom, de votre adresse, de votre adresse e-mail et d'autres informations privées importantes est essentielle au processus. Après l'inscription, toute personne disposant de suffisamment de temps peut exécuter un Qui est pour trouver cette information publique, à moins que vous ne demandiez lors de l'inscription de garder vos données personnelles privées. Cette fonctionnalité a généralement un coût et est entièrement facultative.
Les personnes qui enregistrent des sites via eNom et demander un Whois privé a trouvé que leurs données avaient lentement été divulguées sur une période d'environ 18 mois. Le défaut logiciel, découvert le 19 févriere et branché cinq jours plus tard, des données privées divulguées chaque fois qu'un enregistrement était renouvelé, exposant potentiellement les particuliers à un certain nombre de problèmes de protection des données.
Accéder à la publication de 282 000 enregistrements en masse n'est pas facile. Vous ne le rencontrerez pas sur le Web. Mais c'est maintenant une tache indélébile sur les antécédents de Google, et est également indélébile des vastes étendues d'Internet. Et si même 5%, 10% ou 15% des individus commencent à recevoir des e-mails de spear phishing malveillants très ciblés, cela génère des bulles dans un casse-tête de données majeur pour Google et eNom.
Cas 3: Spoofed Me
C'est un vulnérabilité de réseau multiple Chaque version de Windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet.Que diriez-vous si nous vous disions que votre version de Windows est affectée par une vulnérabilité qui remonte à 1997? Malheureusement, c'est vrai. Microsoft ne l'a tout simplement jamais corrigé. À ton tour! Lire la suite permettant à un pirate d'exploiter à nouveau les systèmes de connexion tiers exploités par de nombreux sites populaires. Le pirate informatique envoie une demande à un service vulnérable identifié à l'aide de l'adresse e-mail de la victime, qui était auparavant connue du service vulnérable. Le pirate peut ensuite usurper les détails de l'utilisateur avec le faux compte, accéder au compte social avec une confirmation par e-mail confirmée.
Pour que ce piratage fonctionne, le site tiers doit prendre en charge au moins une autre connexion au réseau social à l'aide d'un autre fournisseur d'identité, ou la possibilité d'utiliser les informations d'identification du site Web personnel local. Il est similaire au piratage de Facebook, mais a été vu sur un plus large éventail de sites Web, y compris Amazon, LinkedIn et MYDIGIPASS, entre autres, et pourraient être utilisés pour se connecter à des services sensibles avec malveillance.
Ce n'est pas un défaut, c'est une fonctionnalité
Certains des sites impliqués dans ce mode d’attaque n’ont en fait pas laissé passer une vulnérabilité critique sous le radar: ils sont intégré directement dans le système Votre configuration de routeur par défaut vous rend-elle vulnérable aux pirates et aux escrocs?Les routeurs arrivent rarement dans un état sécurisé, mais même si vous avez pris le temps de configurer correctement votre routeur sans fil (ou câblé), il peut encore s'avérer être le maillon faible. Lire la suite . Twitter en est un exemple. Vanilla Twitter est bien, si vous avez un compte. Une fois que vous gérez plusieurs comptes, pour différentes industries et que vous vous approchez d'un large public, vous avez besoin d'une application comme Hootsuite ou TweetDeck 6 façons gratuites de programmer des tweetsUtiliser Twitter, c'est vraiment ici et maintenant. Vous trouvez un article intéressant, une image sympa, une vidéo géniale, ou peut-être voulez-vous simplement partager quelque chose que vous venez de réaliser ou de penser. Soit... Lire la suite .
Ces applications communiquent avec Twitter en utilisant une procédure de connexion très similaire car elles ont également besoin d'un accès direct à votre réseau social et les utilisateurs sont invités à fournir les mêmes autorisations. Cela crée un scénario difficile pour de nombreux fournisseurs de réseaux sociaux car les applications tierces apportent beaucoup à la sphère sociale, tout en créant clairement des inconvénients de sécurité pour l'utilisateur et le fournisseur.
Roundup
Nous avons identifié des vulnérabilités de connexion sociale trois et un peu que vous devriez maintenant être en mesure d'identifier et, espérons-le, d'éviter. Les hacks de connexion sociale ne se tariront pas du jour au lendemain. le gain potentiel pour les pirates 4 meilleurs groupes de hackers et ce qu'ils veulentIl est facile de considérer les groupes de hackers comme une sorte de révolutionnaires romantiques d'arrière-scène. Mais qui sont-ils vraiment? Que représentent-ils et quelles attaques ont-ils menés par le passé? Lire la suite est trop grand, et lorsque des entreprises technologiques massives comme Facebook refusent d'agir dans le meilleur intérêt de leurs utilisateurs, c'est essentiellement ouvrir la porte et les laisser s'essuyer les pieds sur la confidentialité des données paillasson.
Votre compte social a-t-il été compromis par un tiers? Qu'est-il arrivé? Comment avez-vous récupéré?
Crédit d'image:code binaire Via Shutterstock, Structure via Pixabay
Gavin est rédacteur principal pour MUO. Il est également rédacteur en chef et gestionnaire SEO pour le site frère de MakeUseOf, Blocks Decoded. Il a un BA (Hons) écriture contemporaine avec des pratiques d'art numérique pillé des collines du Devon, ainsi que plus d'une décennie d'expérience professionnelle en écriture. Il aime beaucoup de thé.