İlan

Facebook ile giriş. Google ile giriş yapın. Web siteleri, ziyaret ettiğimizden ve kişisel veri pastasından bir dilim aldıklarından emin olmak için kolayca oturum açma arzumuzu düzenli olarak kullanır. Ama ne pahasına olursa olsun? Bir güvenlik araştırmacısı kısa süre önce bir güvenlik açığı Facebook ile giriş özelliği binlerce sitede bulundu. Benzer şekilde, Google App alan adı arayüzündeki bir hata, yüz binlerce kişinin özel verilerini herkese açık hale getirdi.

Bunlar, en büyük ev tekniği adlarından ikisinin karşılaştığı ciddi sorunlardır. Bu meseleler uygun huzursuzlukla ve yamalı güvenlik açıklarıyla ele alınacak olsa da, halka yeterince farkındalık veriliyor mu? Her duruma ve web güvenliğiniz için ne anlama geldiğine bakalım.

Durum 1: Facebook ile Giriş

Facebook ile Giriş Yap güvenlik açığı hesaplarınızı (gerçek Facebook şifrenizi değil) ve yüklediğiniz üçüncü taraf uygulamaları (örneğin, Bit.ly, Mashable, Vimeo, About.me, ve başkalarının ev sahibi.

Sakurity için güvenlik araştırmacısı Egor Homakov tarafından keşfedilen kritik kusur, bilgisayar korsanlarının Facebook kodunda bir gözetimi kötüye kullanmalarına izin veriyor. Kusur uygun bir eksiklikten kaynaklanıyor

Siteler Arası İstek Sahteciliği Üç farklı işlem için (CSFR) koruma: Facebook Girişi, Facebook Oturumu Kapatma ve Üçüncü Taraf Hesap Bağlantısı. Güvenlik açığı, esasen istenmeyen bir tarafın kimliği doğrulanmış bir hesapta işlem gerçekleştirmesine izin verir. Bunun neden önemli bir sorun olduğunu görebilirsiniz.

Muo güvenlikli-smb-şifre hırsızlığı

Yine de Facebook, çok sayıda site ile kendi uyumluluklarını tehlikeye atacağı için sorunu çözmek için çok az şey yapmayı seçti. Üçüncü sayı ilgili herhangi bir web sitesi sahibi tarafından düzeltilebilir, ancak ilk ikisi yalnızca Facebook kapısındadır.

Facebook tarafından yapılan eylem eksikliğini daha fazla örneklemek için Homakov, RECONNECT adlı bir bilgisayar korsanları aracı yayınlayarak sorunu daha da ileriye taşıdı. Bu, hackerların üçüncü taraf sitelerdeki hesapları kaçırmak için kullanılan özel URL'ler oluşturmasına ve eklemesine izin vererek hatayı kullanır. Homakov çağrılabilir aracı serbest bırakmaktan sorumsuz İyi Bir Hacker ve Kötü Hacker Arasındaki Fark Nedir? [Görüş]Arada sırada, bilgisayar korsanlarının siteleri ele geçirmeleri hakkında bir şeyler duyuyoruz, çok sayıda program veya yüksek güvenlikli alanlara doğru ilerlemekle tehdit etmek ait olmamalı. Ama eğer... Daha fazla oku ancak suçlama, Facebook’un güvenlik açığını düzeltmeyi reddetmesi ile yakından ilgilidir. bir yıldan uzun bir süre önce ortaya çıktı.

Facebook için giriş yap

Bu arada uyanık kalın. Spam içerikli sayfalardan gelen güvenilir olmayan bağlantıları tıklamayın veya tanımadığınız kişilerden arkadaşlık isteklerini kabul etmeyin. Facebook ayrıca şöyle bir açıklama yaptı:

“Bu iyi anlaşılmış bir davranış. Login kullanan site geliştiricileri, en iyi uygulamalarımızı izleyerek ve OAuth Login için sağladığımız "durum" parametresini kullanarak bu sorunu önleyebilir. "

Teşvik edici.

Durum 1a: Bana Kim Düşündü?

Diğer Facebook kullanıcıları, üçüncü taraf OAuth oturum açma kimlik bilgileri hırsızlığında başka bir “hizmet” avının avına düşüyor. OAuth oturumu, kullanıcıların güvenlik duvarını koruyarak şifrelerini herhangi bir üçüncü taraf uygulamasına veya hizmetine girmesini durdurmak için tasarlanmıştır.

Arkadaşa Bildir

Gibi hizmetler UnfriendAlert çevrimiçi arkadaşlıklarından kimin vazgeçtiğini keşfetmeye çalışan, bireylerden giriş kimlik bilgilerini girmelerini isteyen ve ardından doğrudan kötü amaçlı siteye gönderen bireyleri avla yougotunfriended.com. UnfriendAlert, bilerek reklam yazılımı ve kötü amaçlı yazılım yükleyerek Potansiyel Olarak İstenmeyen Bir Program (PUP) olarak sınıflandırılmıştır.

Ne yazık ki, Facebook böyle hizmetleri tamamen durduramaz, bu yüzden hizmet kullanıcıları uyanık kalmaya devam eder ve gerçek gibi iyi görünen şeylere düşmeyin.

Durum 2: Google Apps Hatası

İkinci güvenlik açımız, Google Apps'ın alan adı kayıtlarının işlenmesindeki bir kusurdan kaynaklanmaktadır. Daha önce bir web sitesi kaydettiyseniz, adınızın, adresinizin, e-posta adresinizin ve diğer önemli özel bilgilerin sağlanmasının süreç için çok önemli olduğunu bilirsiniz. Kayıttan sonra, yeterli zamanı olan herkes koş Kim bu genel bilgiyi bulmak için, kayıt sırasında kişisel verilerinizi gizli tutmak için bir talepte bulunmazsanız. Bu özellik genellikle bir maliyete sahiptir ve tamamen isteğe bağlıdır.

Google ile giriş yap

ENom üzerinden site kaydeden kişiler ve özel bir Whois'e verilerinin 18 aylık bir süre içinde yavaşça sızdırıldığını tespit etmesini istemek. 19 Şubat'ta keşfedilen yazılım hatasıinci ve beş gün sonra takıldı, her kayıt yenilendiğinde özel verileri sızdırdı ve özel kişileri potansiyel olarak herhangi bir sayıda veri koruma sorununa maruz bıraktı.

Whois Arama

282.000 toplu kayıt sürümüne erişmek kolay değildir. Web'de bununla karşılaşmayacaksınız. Ancak artık Google’ın sicil kaydında silinmez bir leke ve İnternet'in geniş alanlarından eşit derecede silinmez. Ve bireylerin% 5,% 10 veya% 15'i yüksek oranda hedeflenmiş, kötü amaçlı mızrak avı e-postaları almaya başlarsa, bu hem Google hem de eNom için önemli bir veri baş ağrısına neden olur.

Durum 3: Bana Sahte

Bu bir çoklu ağ güvenlik açığı Windows'un her sürümü bu güvenlik açığından etkilenir - bu konuda ne yapabilirsiniz?Windows sürümünüzün 1997 yılına kadar olan bir güvenlik açığından etkilendiğini söyleseydik ne söylerdiniz? Ne yazık ki, bu doğrudur. Microsoft hiçbir zaman düzeltme eki eklemedi. Senin sıran! Daha fazla oku bir hacker'ın birçok popüler site tarafından kullanılan sistemlerde üçüncü taraf oturum açmasını tekrar kullanmasına izin verdi. Bilgisayar korsanı, daha önce güvenlik açığından etkilenen hizmet tarafından bilinen, kurbanın e-posta adresini kullanarak tanımlanmış bir güvenlik açığıyla ilgili istekte bulunur. Bilgisayar korsanı daha sonra kullanıcının ayrıntılarını sahte hesapla sahteleyerek, onaylanmış e-posta doğrulamasıyla birlikte sosyal hesaba erişim kazanabilir.

Net Güvenlik

Bu saldırının çalışması için üçüncü taraf sitesi, başka bir kimlik sağlayıcı kullanarak en az bir diğer sosyal ağ oturum açmayı veya yerel kişisel web sitesi kimlik bilgilerini kullanma yeteneğini desteklemelidir. Facebook hack'lerine benzer, ancak Amazon dahil olmak üzere daha geniş bir web sitesinde görülüyor, LinkedIn ve MYDIGIPASS ve diğerleri arasında ve potansiyel olarak hassas hizmetlerde oturum açmak için kullanılabilir. kötü niyetli niyet.

Bu bir Kusur Değildir, Bir Özelliktir

Bu saldırı modunda yer alan sitelerin bazıları, kritik bir güvenlik açığının radarın altında uçmasına gerçekten izin vermiyor: doğrudan sisteme entegre Varsayılan Yönlendirici Yapılandırmanız sizi Bilgisayar Korsanlarına ve Dolandırıcılara Karşı Korunmasız Yapıyor mu?Yönlendiriciler nadiren güvenli bir duruma gelir, ancak kablosuz (veya kablolu) yönlendiricinizi doğru şekilde yapılandırmak için zaman ayırmış olsanız bile, zayıf bağlantı olduğunu kanıtlayabilir. Daha fazla oku . Bir örnek Twitter. Vanilla Twitter olduğunu iyi, bir hesabınız varsa. Birden fazla hesabı yönettikten sonra, farklı sektörler için bir dizi kitleye yaklaşırken bir uygulamaya ihtiyacınız vardır Hootsuite veya TweetDeck gibi Tweetleri Programlamanın 6 Ücretsiz YoluTwitter kullanmak gerçekten burada ve şimdi. İlginç bir makale, havalı bir resim, harika bir video buluyorsunuz veya belki de yeni fark ettiğiniz veya düşündüğünüz bir şeyi paylaşmak istiyorsunuz. Ya ... Daha fazla oku .

yapı

Bu uygulamalar, sosyal ağınıza doğrudan erişmeleri gerektiğinden ve kullanıcılardan aynı izinleri sağlamaları istendiğinden Twitter ile çok benzer bir giriş prosedürü kullanarak iletişim kurar. Üçüncü taraf uygulamalar sosyal alana çok şey kattığından, hem kullanıcı hem de sağlayıcı için açıkça güvenlik rahatsızlıkları yarattığı için birçok sosyal ağ sağlayıcısı için zor bir senaryo oluşturur.

Hesabı yuvarlamak

Artık tanımlayabilmeniz ve umarım kaçınabilmeniz gereken üç ve biraz sosyal oturum açma güvenlik açıklarını belirledik. Sosyal oturum açma saldırıları bir gecede kurumaz. bilgisayar korsanları için potansiyel getiri En İyi 4 Hacker Grubu Ve Ne İstedikleriniHacker gruplarını bir tür romantik arka oda devrimcileri olarak düşünmek kolaydır. Ama onlar gerçekten kim? Neyi temsil ediyorlar ve geçmişte ne gibi saldırılar düzenlediler? Daha fazla oku çok büyük ve Facebook gibi devasa teknolojiler en iyi çıkarları gözetmeyi reddettiğinde Temel olarak, kapıyı açıyor ve veri gizliliğinde ayaklarını silmelerine izin veriyor paspas.

Sosyal hesabınız bir üçüncü taraf tarafından ele geçirildi mi? Ne oldu? Nasıl iyileştiniz?

İmaj Kredisi:ikili kod Shutterstock üzerinden, Pixabay ile Yapı

Gavin, MUO'nun kıdemli yazarıdır. Ayrıca MakeUseOf'un kripto odaklı kardeş sitesi Blocks Decoded için Editör ve SEO Yöneticisi. Devon tepelerinden ve on yıllık profesyonel yazma deneyiminden yağmalanan BA (Hons) Dijital Sanat Uygulamaları ile Çağdaş Yazma çalışmaları var. Bol miktarda çay içiyor.