Cómo facebook Google nombres de usuarios web pueden conducir al robo de datos

Iniciar sesión con Facebook. Ingresar con Google. Sitios web aprovechan regularmente nuestro deseo de iniciar sesión con facilidad para asegurar que vamos, y para asegurarse de que tomar una porción del pastel de datos personales. Pero ¿a qué costo? Un investigador de seguridad ha descubierto recientemente una vulnerabilidad en el Iniciar sesión con Facebook característica que se encuentra en muchos miles de sitios. Del mismo modo, un error en la interfaz de nombre de dominio de Google App expuesto cientos de miles de individuos datos privados al público.

Estos son problemas graves que enfrenta a dos de los mayores del hogar tech-nombres. Mientras que estos temas serán tratados con malestar apropiado y las vulnerabilidades parcheadas, es suficiente conciencia dada al público? Veamos cada caso, y lo que significa para su seguridad web.

Caso 1: Ingresar con Facebook

La Entrar con Facebook vulnerabilidad expone sus cuentas - pero no su actual contraseña de Facebook - y las aplicaciones de terceros que haya instalado, como Bit.ly, Mashable, Vimeo, About.me, y muchos otros.

La falla crítica, descubierta por Egor Homakov, investigador de seguridad para Sakurity, permite a los hackers para abusar de un descuido en el código de Facebook. El defecto se debe a una falta de adecuada Cross-Site Request Falsificación protección (RFCE) por tres procesos diferentes: Facebook Iniciar sesión, Salir de Facebook, y conexión de la cuenta de terceros. La vulnerabilidad esencialmente permite que terceros sin autorización para llevar a cabo acciones dentro de una cuenta autenticada. Se puede ver por qué esto sería un problema importante.

Muo-seguridad-SMB-contraseña-robo

Vídeo: El mejor adivino de la historia.

Sin embargo, Facebook tiene, hasta ahora, elegido para hacer muy poco para abordar la cuestión, ya que pondría en peligro su propia compatibilidad con un gran número de sitios. El tercer problema se puede solucionar cualquier propietario del sitio web en cuestión, pero los dos primeros se encuentran exclusivamente en la puerta de Facebook.

Para ejemplificar aún más la falta de acción hecha por Facebook, Homakov ha llevado la cuestión aún más por la liberación de una herramienta de hackers llamado reconexión. Esto explota el fallo, dejando que los hackers crear e insertar URL personalizadas que se utilizan para secuestrar cuentas en sitios de terceros. Homakov podría denominarse irresponsable para liberar la herramienta, pero la culpa recae directamente en la negativa de Facebook para parchear la vulnerabilidad sacado a la luz hace más de un año.¿Cuál es la diferencia entre un buen Hacker & Un pirata informático malo? [Opinión]¿Cuál es la diferencia entre un buen Hacker & Un pirata informático malo? [Opinión]De vez en cuando, oímos algo en las noticias sobre hackers derribar sitios, explotar una multitud de programas, o la amenaza de mover su camino en áreas de alta seguridad donde no deberían pertenecer. Pero si...Lee mas

Mientras tanto, permanecer alerta. No haga clic en enlaces inseguros de las páginas de aspecto spam, o aceptar solicitudes de amistad de personas que no conoces. Facebook también ha lanzado un comunicado diciendo:

“Este es un comportamiento bien entendida. los desarrolladores de sitios que utilizan inicio de sesión puede evitar este problema siguiendo nuestras mejores prácticas y con el parámetro ‘estado` que ofrecemos a OAuth Login“.

Alentador.

Caso 1a: ¿Quién amigos yo?

Otros usuarios de Facebook están siendo presa para otro “servicio” se aprovechan de terceros robo de identidad de conexión OAuth. El inicio de sesión de OAuth está diseñado para evitar que los usuarios ingresar su contraseña para cualquier aplicación o servicio de terceros, el mantenimiento de la pared de la seguridad.

Los servicios tales como UnfriendAlert se aprovechan de las personas que intentan descubrir quién ha renunciado a su amistad en línea, pedir a las personas que introduzcan sus credenciales de inicio de sesión - y luego enviarlos directamente al sitio malicioso yougotunfriended.com. UnfriendAlert se clasifica como un programa potencialmente no deseado (PUP), la instalación de forma intencionada adware y malware.

Lamentablemente, Facebook no puede detener por completo los servicios de este tipo, por lo que la responsabilidad recae en los usuarios de los servicios no bajar la guardia y no caer por las cosas que parecen buenas para ser verdad.

Caso 2: Fallo de Google Apps

Nuestra segunda vulnerabilidad se debe a un defecto en Google Apps manejo de registros de nombres de dominio. Si alguna vez se ha registrado un sitio web, usted sabrá el suministro de su nombre, dirección, dirección de correo electrónico y otra información privada importante es esencial para el proceso. Tras el registro, cualquier persona con suficiente tiempo posible ejecutar una Quien es para encontrar esta información pública, a menos que se coloque una solicitud durante el registro para mantener su información personal privada. Esta característica lo general tiene un costo, y es totalmente opcional.

Aquellos individuos que registran sitios a través de eNom y solicitando una Whois privado encontró sus datos poco a poco se había filtrado durante un período de 18 meses o menos. El defecto de software, descubierto el 19 de febrero^º y enchufado cinco días más tarde, se filtró datos privados cada vez que se renueva un registro, expone potencialmente a los particulares a cualquier número de cuestiones de protección de datos.

Acceso al lanzamiento de registro 282.000 a granel no es fácil. Usted no va a tropezar a través de ella en la web. Pero ahora es una mancha indeleble en el historial de Google, y es igualmente indeleble de las vastas extensiones de Internet. Y si ni siquiera el 5%, 10%, o el 15% de los individuos comenzar a recibir muy bien orientadas, lanza malicioso correos electrónicos de phishing, este emite globos en un gran dolor de cabeza para los datos de Google y eNom.

Caso 3: Me Spoofed

Esto es un vulnerabilidad de la red múltiple permitiendo que un hacker para explotar de nuevo la señal de terceros en los sistemas apalancados por tantos sitios populares. El hacker coloca una solicitud con un servicio vulnerable identificado utilizando la dirección de correo electrónico de la víctima, que se conocía anteriormente al servicio vulnerable. El hacker puede entonces suplantar los datos del usuario con la cuenta falsa, el acceso a la cuenta social completo con la verificación de correo electrónico confirmada.Cada versión de Windows está afectado por esta vulnerabilidad - Lo que usted puede hacer al respecto.Cada versión de Windows está afectado por esta vulnerabilidad - Lo que usted puede hacer al respecto.¿Qué diría usted si le decimos que su versión de Windows se ve afectado por una vulnerabilidad que se remonta a 1997? Por desgracia, esto es cierto. Microsoft simplemente nunca se parcheado. ¡Tu turno!Lee mas

Para este truco funcione, el sitio de terceros debe ser compatible con al menos otro de sesión de red social utilizando otro proveedor de identidad, o la capacidad de utilizar las credenciales de sitios web personales locales. Es similar a la de Facebook corte, pero se ha visto a través de una gama más amplia de sitios web, incluyendo Amazon, LinkedIn y MYDIGIPASS entre otros, y potencialmente podría utilizarse para acceder a los servicios sensibles con intenciones maliciosas.

No es un defecto, es una característic

Algunos de los sitios implicados en este modo de ataque no han hecho dejar una vulnerabilidad crítica vuela por debajo del radar: son integrado directamente en el sistema. Un ejemplo es Twitter. Twitter es la vainilla bueno, si usted tiene una cuenta. Una vez que estés gestión de múltiples cuentas, para diferentes industrias, se acerca a una variedad de audiencias, se necesita una aplicación como Hootsuite o TweetDeck.¿Su defecto de configuración del router le hace vulnerable a los hackers & Los estafadores?¿Su defecto de configuración del router le hace vulnerable a los hackers & Los estafadores?Routers rara vez llegan en un estado seguro, pero incluso si se han tomado el tiempo para configurar su red inalámbrica (o cableada) del router correctamente, todavía puede llegar a ser el eslabón más débil.Lee mas

Estas aplicaciones se comunican con Twitter utilizando un procedimiento de inicio de sesión muy similares, ya que también necesitan tener acceso directo a su red social, y los usuarios se les pide que proporcionen los mismos permisos. Se crea un escenario difícil para muchos proveedores de redes sociales como aplicaciones de terceros llevar tanto a la esfera social, sin embargo, claramente crear inconvenientes de seguridad para el usuario y el proveedor.

Redondeo

Hemos identificado tres y un bit de inicio de sesión en la vida social vulnerabilidades Ahora debería ser capaz de identificar y espero que evitar. hacks de inicio de sesión sociales no van a secarse durante la noche. los beneficio potencial para los hackers es demasiado grande, y cuando las empresas grandes tecnologías como Facebook se niegan a actuar en el mejor interés de sus usuarios, que es, básicamente, abriendo la puerta y dejar que ellos limpian sus pies en el felpudo de privacidad de datos.Top 4 grupos de hackers y lo que quierenTop 4 grupos de hackers y lo que quierenEs fácil pensar en grupos de hackers como una especie de revolucionarios a puertas cerradas románticas. Pero ¿quiénes son realmente? ¿Qué es lo que representan, y lo que los ataques se han llevado a cabo que en el pasado?Lee mas

Su cuenta ha sido comprometida sociales por un tercero? ¿Que pasó? ¿Cómo se recupera?