使用Facebook登录。用Google登录。网站定期利用我们的愿望来轻松登录,以确保我们访问并确保他们获取了一部分个人数据。但是要花多少钱呢?一位安全研究人员最近在成千上万个站点的 Facebook登录功能中发现了一个漏洞。同样,Google App域名界面中的错误将数十万个人的私人数据暴露给公众。
这些是两个最大的家用技术名称所面临的严重问题。这些问题将得到适当的解决,并修补漏洞,但是否已向公众提供足够的意识?让我们看一下每种情况,以及这对您的网络安全意味着什么。
案例1:使用Facebook登录
“使用Facebook登录"漏洞会泄露您的帐户,但不会显示您的真实Facebook密码–以及您已安装的第三方应用程序,例如 Bit.ly,Mashable,Vimeo,About.me 和其他主机。
关键缺陷,由Sakurity的安全研究员Egor Homakov允许黑客滥用Facebook代码中的监督。造成这种漏洞的原因是缺乏针对三个不同过程的适当的<跨站点请求伪造(CSFR)保护:Facebook登录,Facebook注销和第三方帐户连接。该漏洞从本质上允许不需要的一方在经过身份验证的帐户中执行操作。您可以看到为什么这将是一个重大问题。
然而,到目前为止,Facebook仍选择不做任何努力来解决该问题,因为这会损害他们与众多网站的兼容性。第三个问题可以由任何相关的网站所有者解决,但前两个问题完全位于Facebook门口。
为了进一步证明Facebook缺乏行动,霍马科夫通过发布名为RECONNECT的黑客工具。这利用了该漏洞,使黑客可以创建并插入用于劫持第三方站点上帐户的自定义URL。 Homakov可能被认为不负责发布该工具,但责任归咎于Facebook拒绝修补漏洞,该漏洞是一年多前曝光的。 b23b7bd97f7a687
警惕。不要点击看上去垃圾邮件的页面中不受信任的链接,也不要接受您不认识的人的好友请求。 Facebook还发布了一条声明:
“这是一个易于理解的行为。使用Login的网站开发人员可以通过遵循我们的最佳实践并使用我们为OAuth Login提供的'state'参数来避免此问题。"
令人鼓舞。
其他Facebook用户正在抢占另一个利用第三方OAuth登录凭据盗窃的“服务"。 OAuth登录旨在阻止用户向任何第三方应用程序或服务输入密码,从而保持安全性。
服务,例如 UnfriendAlert 捕食试图发现谁放弃了在线友谊的人,要求他们输入登录凭据,然后将其直接发送到恶意网站 yougotunfriended.com 。 UnfriendAlert被归类为潜在有害程序(PUP),故意安装广告软件和恶意软件。
不幸的是,Facebook无法完全停止此类服务,因此服务用户有责任保持警惕,并且
案例2:Google Apps错误
我们的第二个漏洞源于Google Apps处理域名的缺陷注册。如果您曾经注册过网站,就会知道提供姓名,地址,电子邮件地址和其他重要的私人信息对于该过程至关重要。注册后,任何有足够时间的人都可以运行 Whois 来查找此公共信息,除非您在注册期间提出要求将您的个人数据保密。
那些通过eNom 注册站点并请求私有Whois的个人发现,他们的数据在18-一个月左右的时间段。该软件缺陷于2月19日在上发现,并在五天后插入,每次更新注册时都会泄漏私人数据,从而可能使私人面临许多数据保护问题。
访问282,000个批量记录版本并不容易。您不会在网络上偶然发现它。但这现在已成为Google往绩中不可磨灭的瑕疵,并且在互联网的广阔领域也同样不可磨灭。而且,即使有5%,10%或15%的个人开始收到具有高度针对性的恶意鱼叉式网络钓鱼电子邮件,这也会使Google和eNom陷入严重的数据麻烦之中。
案例3:欺骗我
这是一个多网络漏洞,允许黑客再次利用被众多热门网站利用的第三方登录系统。黑客使用受害者的电子邮件地址向已识别的易受攻击的服务发出请求,该电子邮件地址以前是易受攻击的服务所知道的。然后,黑客可以使用虚假帐户欺骗用户的详细信息,并获得具有已确认电子邮件验证的完整社交帐户的访问权限。
要使此黑客有效,第三方站点必须至少支持另一个使用其他身份提供商的社交网络登录,或使用本地个人网站凭据的功能。它类似于Facebook的黑客行为,但已在包括Amazon,LinkedIn和MYDIGIPASS等在内的更广泛的网站上看到,并且有可能被恶意用于登录敏感服务。
与这种攻击方式有关的某些站点实际上并没有让严重的漏洞隐瞒:它们直接内置在系统中。
这些应用程序使用非常相似的登录名与Twitter通信程序,因为他们也需要直接访问您的社交网络,并且要求用户提供相同的权限。第三方应用程序在社交领域带来了如此之多,这给许多社交网络提供商带来了困难的局面,但显然给用户和提供商带来了安全上的不便。
Roundup
我们已经确定了三位数的社交登录漏洞,您现在应该可以识别并希望避免。社交登录黑客不会在一夜之间枯竭。黑客的潜在收益太大了,当像Facebook这样的大型技术公司拒绝为他们的用户的最大利益行事时,这基本上是在打开大门,让他们在数据隐私门垫上擦脚。
您的社交帐户是否受到第三方的侵害?发生了什么?您是如何恢复的?
图片来源:二进制代码(通过Shutterstock),结构(通过PID)
