Se connecter avec Facebook. Connectez-vous avec Google Les sites Web tirent régulièrement parti de notre désir de nous connecter facilement afin de nous assurer que nous visitons nos sites et de nous assurer qu'ils obtiennent une part du gâteau des données personnelles. Mais à quel prix? Un chercheur en sécurité a récemment découvert une vulnérabilité dans la fonctionnalité Connexion avec Facebook, disponible sur plusieurs milliers de sites. De même, un bogue dans l'interface du nom de domaine Google App a exposé des centaines de milliers de données privées au public.
Ce sont des problèmes sérieux auxquels sont confrontés deux des plus grands noms techniques des ménages. Alors que ces problèmes seront traités avec un malaise approprié et les vulnérabilités corrigées, une sensibilisation suffisante est-elle donnée au public? Regardons chaque cas, et ce que cela signifie pour votre sécurité Web.
Cas 1: Connectez-vous avec Facebook
La vulnérabilité de connexion avec Facebook expose vos comptes - mais pas votre mot de passe Facebook réel - et les applications tierces que vous avez installées, telles que Bit.ly, Mashable, Vimeo, About.me et d'autres hébergeurs.
La faille critique, découverte par Egor Homakov, chercheur en sécurité pour Sakurity, permet aux hackers d'abuser d'un oubli dans le code Facebook. La faille découle d'un manque de protection contre la falsification de demande intersites (CSFR) appropriée pour trois processus différents: Facebook Login, Facebook Logout et Third-Party Account Connection. La vulnérabilité permet essentiellement à une partie indésirable d'effectuer des actions au sein d'un compte authentifié. Vous pouvez voir pourquoi ce serait un problème important.
Pourtant, Facebook a pour l'instant choisi de faire très peu pour résoudre le problème car cela compromettrait sa propre compatibilité avec un grand nombre de sites. Le troisième problème peut être résolu par n'importe quel propriétaire de site Web concerné, mais les deux premiers se trouvent exclusivement à la porte de Facebook.
Pour illustrer davantage le manque d'action de Facebook, Homakov a poussé le problème plus loin en libérant un outil de hackers nommé RECONNECT. Cela exploite le bug, laissant les pirates créer et insérer des URL personnalisées utilisées pour pirater des comptes sur des sites tiers. Homakov pourrait être appelé irresponsable pour libérer l'outil Quelle est la différence entre un bon hacker et un mauvais hacker? [Opinion] Quelle est la différence entre un bon hacker et un mauvais hacker? [Opinion] De temps à autre, nous entendons parler de piratage de sites, d'exploitation d'une multitude de programmes ou de menaces de se faufiler dans des zones de haute sécurité où ils ne devraient pas appartenir. Mais, si ... Lire la suite, mais le blâme réside carrément dans le refus de Facebook de corriger la vulnérabilité mise au jour il y a plus d'un an .
En attendant, restez vigilant. Ne cliquez pas sur des liens non fiables provenant de pages à la recherche de spams ou n'acceptez pas les demandes d'amis provenant de personnes que vous ne connaissez pas. Facebook a également publié une déclaration disant:
"C'est un comportement bien compris. Les développeurs de sites utilisant Login peuvent éviter ce problème en suivant nos meilleures pratiques et en utilisant le paramètre 'state' que nous fournissons pour la connexion OAuth. "
Encourageant.
Cas 1a: Qui m'a unfriended?
D'autres utilisateurs de Facebook sont la proie d'un autre "service" se nourrissant du vol d'informations d'identification de tiers OAuth. Le login OAuth est conçu pour empêcher les utilisateurs de saisir leur mot de passe pour toute application ou service tiers, en maintenant le mur de sécurité.
Des services tels que UnfriendAlert s'attaquent aux personnes qui tentent de découvrir qui a renoncé à leur amitié en ligne, demandant à des individus d'entrer leurs identifiants de connexion - puis de les envoyer directement sur le site malveillant yougotunfriended.com . UnfriendAlert est classé comme un programme potentiellement indésirable (PUP), en installant intentionnellement des logiciels publicitaires et des logiciels malveillants.
Malheureusement, Facebook ne peut pas arrêter complètement des services comme celui-ci, il incombe donc aux utilisateurs du service de rester vigilants et de ne pas tomber dans des choses qui semblent bonnes pour être vraies.
Cas 2: bogue Google Apps
Notre deuxième vulnérabilité provient d'une faille dans le traitement des enregistrements de noms de domaine par Google Apps. Si vous avez déjà enregistré un site Web, vous savez que la fourniture de votre nom, de votre adresse, de votre adresse électronique et d'autres informations privées importantes est essentielle au processus. Après l'enregistrement, toute personne ayant suffisamment de temps peut exécuter un Whois pour trouver cette information publique, sauf si vous faites une demande lors de l'inscription pour garder vos données personnelles privées. Cette fonctionnalité a généralement un coût et est entièrement facultative.
Les personnes qui ont enregistré des sites via eNom et demandé un Whois privé ont constaté que leurs données avaient lentement fui pendant une période de 18 mois environ. Le défaut logiciel, découvert le 19 février et branché cinq jours plus tard, a fui les données privées chaque fois qu'un enregistrement a été renouvelé, exposant potentiellement des particuliers à un nombre quelconque de problèmes de protection des données.
Accéder à la version en masse de 282 000 n'est pas facile. Vous ne trébucherez pas sur le web. Mais il est maintenant une tache indélébile sur les antécédents de Google, et est également indélébile des vastes pans de l'Internet. Et si même 5%, 10% ou 15% des individus commencent à recevoir des e-mails de spear phishing hautement ciblés, cela provoque des problèmes majeurs dans Google et eNom.
Cas 3: Spoofed moi
Ceci est une vulnérabilité de réseau multiple Chaque version de Windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet. Chaque version de Windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet. Que diriez-vous si nous vous disions que votre version de Windows est affectée par une vulnérabilité qui remonte à 1997? Malheureusement, c'est vrai. Microsoft ne l'a jamais simplement corrigé. À ton tour! En savoir plus permettant à un pirate d'exploiter à nouveau les systèmes de connexion tiers utilisés par tant de sites populaires. Le pirate place une demande auprès d'un service vulnérable identifié à l'aide de l'adresse électronique de la victime, connue précédemment du service vulnérable. Le hacker peut alors usurper les détails de l'utilisateur avec le faux compte, en accédant au compte social complété par une vérification par courriel confirmée.
Pour que ce hack fonctionne, le site tiers doit prendre en charge au moins une autre connexion au réseau social en utilisant un autre fournisseur d'identité, ou la possibilité d'utiliser des informations d'identification de site Web personnel local. Il est similaire au hack de Facebook, mais a été vu sur un plus large éventail de sites Web, y compris Amazon, LinkedIn et MYDIGIPASS entre autres, et pourrait potentiellement être utilisé pour se connecter à des services sensibles avec une intention malveillante.
Ce n'est pas un défaut, c'est une caractéristique
Certains des sites impliqués dans ce mode d'attaque n'ont pas réellement laissé passer une vulnérabilité critique sous le radar: ils sont directement intégrés dans le système. Votre configuration de routeur par défaut vous rend-elle vulnérable aux pirates informatiques et aux escrocs? Votre configuration de routeur par défaut vous rend-elle vulnérable aux pirates informatiques et aux escrocs? Les routeurs arrivent rarement dans un état sécurisé, mais même si vous avez pris le temps de configurer votre routeur sans fil (ou câblé) correctement, il peut encore s'avérer être le maillon faible. Lire la suite . Un exemple est Twitter. Vanilla Twitter est bon, si vous avez un compte. Une fois que vous gérez plusieurs comptes, pour différentes industries, approchant une gamme de publics, vous avez besoin d'une application comme Hootsuite, ou TweetDeck 6 façons gratuites de planifier des tweets 6 façons gratuites de programmer Twitter est vraiment sur le ici et maintenant. Vous trouvez un article intéressant, une photo géniale, une vidéo géniale, ou peut-être que vous voulez juste partager quelque chose que vous venez de réaliser ou de penser. Soit ... Lire la suite.
Ces applications communiquent avec Twitter en utilisant une procédure de connexion très similaire car elles ont également besoin d'un accès direct à votre réseau social, et les utilisateurs sont invités à fournir les mêmes autorisations. Cela crée un scénario difficile pour de nombreux fournisseurs de réseaux sociaux, car les applications tierces apportent énormément à la sphère sociale, mais créent clairement des désagréments de sécurité pour l'utilisateur et le fournisseur.
Roundup
Nous avons identifié des vulnérabilités de connexion sociale trois-et-un-bit que vous devriez maintenant être en mesure d'identifier et, espérons-le, d'éviter. Les hacks de connexion sociale ne vont pas se tarir du jour au lendemain. La récompense potentielle pour les hackers 4 Les meilleurs groupes de hackers et ce qu'ils veulent 4 Les meilleurs groupes de hackers et ce qu'ils veulent Il est facile de considérer les groupes de hackers comme des révolutionnaires romantiques. Mais qui sont-ils vraiment? Que représentent-ils et quelles attaques ont-ils menées dans le passé? Read More est trop génial, et lorsque des sociétés de technologies telles que Facebook refusent d'agir dans le meilleur intérêt de leurs utilisateurs, cela leur ouvre la porte et leur laisse le pied sur le paillasson de la confidentialité des données.
Votre compte social a-t-il été compromis par un tiers? Qu'est-il arrivé? Comment avez-vous récupéré?
Crédit d'image: code binaire Via Shutterstock, Structure via Pixabay