Wie Facebook- und Google-Website-Logins zu Datendiebstahl führen können

Mit Facebook einloggen. Mit Google anmelden Websites nutzen regelmäßig unser Verlangen, sich mühelos anzumelden, um sicherzustellen, dass wir besuchen, und um sicherzustellen, dass sie sich ein Stück des persönlichen Datenbestandes schnappen. Aber zu welchen Kosten? Ein Sicherheitsforscher entdeckte kürzlich eine Sicherheitslücke im Internet Mit Facebook einloggen Funktion auf vielen Tausenden von Websites gefunden. In ähnlicher Weise wurden durch einen Fehler in der Domain-Namensschnittstelle von Google App Hunderttausende von Privatpersonen öffentlich zugänglich gemacht.

Dies sind ernste Probleme, denen zwei der größten Haustechnologietitel gegenüberstehen. Während diese Probleme mit angemessenem Unbehagen behandelt werden und die Schwachstellen behoben werden, wird der Öffentlichkeit jedoch genügend Aufmerksamkeit geschenkt? Schauen wir uns jeden Fall an und was er für Ihre Web-Sicherheit bedeutet.

Fall 1: Loggen Sie sich mit Facebook ein

Die Sicherheitsanfälligkeit bei "Login bei Facebook" macht Ihre Konten - aber nicht Ihr aktuelles Facebook-Passwort - und die von Ihnen installierten Anwendungen von Drittanbietern, z Bit.ly, Mashable, Vimeo, About.me, und Gastgeber von anderen.

Der von Egor Homakov, Sicherheitsforscher für Sakurity, entdeckte kritische Fehler ermöglicht es Hackern, ein Versehen im Facebook-Code zu missbrauchen. Der Fehler rührt von einem Mangel an angemessenem her Cross-Site Request Forgery (CSFR) Schutz für drei verschiedene Prozesse: Facebook Login, Facebook Logout und Kontoverbindung mit Drittanbietern. Durch die Sicherheitsanfälligkeit kann eine unerwünschte Partei im Wesentlichen Aktionen innerhalb eines authentifizierten Kontos ausführen. Sie können sehen, warum dies ein erhebliches Problem darstellt.

Facebook hat sich jedoch bisher dazu entschieden, das Problem nicht zu lösen, da dies die Kompatibilität mit einer großen Anzahl von Websites beeinträchtigen würde. Das dritte Problem kann von jedem betroffenen Websitebesitzer behoben werden, die ersten beiden liegen jedoch ausschließlich an der Facebook-Tür.

Um die mangelnde Aktion von Facebook noch weiter zu verdeutlichen, hat Homakov das Problem mit der Veröffentlichung eines Hacker-Tools namens RECONNECT weiter vorangetrieben. Dadurch wird der Fehler ausgenutzt, indem Hacker benutzerdefinierte URLs erstellen und einfügen, mit denen Konten auf Websites von Drittanbietern gekapert werden. Homakov könnte als unverantwortlich für die Veröffentlichung des Tools bezeichnet werden. Was ist der Unterschied zwischen einem guten Hacker und einem schlechten Hacker? [Meinung] Was ist der Unterschied zwischen einem guten Hacker und einem schlechten Hacker? [Meinung] Ab und zu hören wir in den Nachrichten etwas über Hacker, die Websites abbauen, eine Vielzahl von Programmen ausnutzen oder drohen, sich in Hochsicherheitsbereiche zu winden, in die sie nicht gehören sollten. Aber wenn… Lesen Sie mehr, aber die Schuld liegt direkt in der Weigerung von Facebook, die Sicherheitsanfälligkeit auszubessern vor über einem Jahr ans Licht gebracht.

Bleiben Sie in der Zwischenzeit wachsam. Klicken Sie nicht auf nicht vertrauenswürdige Links von Seiten mit Spam, oder nehmen Sie keine Freundschaftsanfragen von Personen an, die Sie nicht kennen. Facebook hat auch eine Erklärung veröffentlicht, in der es heißt:

“Dies ist ein gut verstandenes Verhalten. Site-Entwickler, die Login verwenden, können dieses Problem vermeiden, indem sie unsere bewährten Methoden befolgen und den Parameter 'state' verwenden, den wir für OAuth Login bereitstellen.”

Ermutigend.

Fall 1a: Wer hat mich nicht angefreundet??

Andere Facebook-Nutzer fallen einem anderen zum Opfer “Bedienung” Diebstahl von OAuth-Anmeldeinformationen von Drittanbietern. Die OAuth-Anmeldung verhindert, dass Benutzer ihr Kennwort für Anwendungen oder Dienste von Drittanbietern eingeben, um die Sicherheit zu gewährleisten.

Dienstleistungen wie UnfriendAlert Beute von Personen, die herausfinden möchten, wer ihre Online-Freundschaft aufgegeben hat, indem sie Einzelpersonen auffordert, ihre Anmeldeinformationen einzugeben - und sie dann direkt an eine bösartige Website weiterleiten yougotunfriended.com. UnfriendAlert wird als potenziell unerwünschtes Programm (PUP) eingestuft und installiert bewusst Adware und Malware.

Leider kann Facebook solche Dienste nicht gänzlich unterbinden, daher ist es die Pflicht der Dienstnutzer, wachsam zu bleiben und nicht auf Dinge hereinfallen, die zu gut scheinen, um wahr zu sein.

Fall 2: Google Apps Bug

Unsere zweite Sicherheitsanfälligkeit beruht auf einem Fehler bei der Verarbeitung von Domainnamen in Google Apps. Wenn Sie jemals eine Website registriert haben, ist die Angabe Ihres Namens, Ihrer Adresse, E-Mail-Adresse und anderer wichtiger privater Informationen für den Vorgang von wesentlicher Bedeutung. Nach der Registrierung kann jeder mit genügend Zeit eine Wer ist um diese öffentlichen Informationen zu finden, es sei denn, Sie stellen während der Registrierung eine Anfrage, um Ihre persönlichen Daten geheim zu halten. Diese Funktion ist normalerweise kostenpflichtig und völlig optional.

Personen, die Websites über eNom registrieren und Die Beantragung eines privaten Whois stellte fest, dass ihre Daten über einen Zeitraum von 18 Monaten langsam durchgesickert waren. Der Softwarefehler, der am 19. Februar entdeckt wurde^th und fünf Tage später angeschlossen, wurden bei jeder Erneuerung der Registrierung private Daten durchgesickert, wodurch möglicherweise Privatpersonen einer beliebigen Anzahl von Datenschutzproblemen ausgesetzt wurden.

Der Zugriff auf die 282.000 Bulk Record Version ist nicht einfach. Sie werden im Web nicht darüber stolpern. Aber es ist jetzt ein unauslöschlicher Makel auf Googles Erfolg und ist auch aus den riesigen Bereichen des Internets unlösbar. Und wenn sogar nur 5%, 10% oder 15% der Personen mit hochgradig zielgerichteten, böswilligen Spear-Phishing-E-Mails beginnen, führt dies zu erheblichen Datenproblemen für Google und eNom.

Fall 3: Fälschte mich

Hierbei handelt es sich um eine Sicherheitsanfälligkeit, die mehrere Netzwerke umfasst. Jede Windows-Version ist von dieser Sicherheitsanfälligkeit betroffen - was Sie dagegen tun können. Jede Windows-Version ist von dieser Sicherheitsanfälligkeit betroffen - was Sie dagegen tun können. Was würden Sie sagen, wenn wir Ihnen sagen würden, dass Ihre Windows-Version von einer Sicherheitsanfälligkeit aus dem Jahr 1997 betroffen ist? Das stimmt leider. Microsoft hat es einfach nie gepatcht. Du bist dran! Lesen Sie mehr, damit ein Hacker die Anmelde-Systeme von Drittanbietern erneut nutzen kann, die von so vielen beliebten Websites genutzt werden. Der Hacker stellt eine Anforderung an einen identifizierten anfälligen Dienst unter Verwendung der E-Mail-Adresse des Opfers, die zuvor dem anfälligen Dienst bekannt war. Der Hacker kann dann die Daten des Benutzers mit dem gefälschten Konto spoofen und erhält Zugang zum sozialen Konto mit bestätigter E-Mail-Bestätigung.

Damit dieser Hack funktionieren kann, muss die Website eines Drittanbieters mindestens ein anderes soziales Netzwerk mit einem anderen Identitätsanbieter unterstützen oder die Möglichkeit haben, lokale persönliche Website-Anmeldeinformationen zu verwenden. Es ähnelt dem Facebook-Hack, wurde aber auf einer breiteren Palette von Websites, darunter Amazon, LinkedIn und MYDIGIPASS, beobachtet und könnte dazu verwendet werden, sich bei böswilligen Absichten bei sensiblen Diensten anzumelden.

Es ist kein Fehler, es ist eine Funktion

Einige der an dieser Angriffsmethode beteiligten Sites haben eigentlich keine kritische Schwachstelle unter dem Radar fliegen lassen: Sie sind direkt in das System integriert. Macht Ihre Standard-Routerkonfiguration Sie anfällig für Hacker und Betrüger? Ist Ihre Standard-Routerkonfiguration für Sie anfällig für Hacker und Betrüger? Router kommen selten in einem sicheren Zustand an, aber selbst wenn Sie sich die Zeit genommen haben, Ihren drahtlosen (oder verkabelten) Router richtig zu konfigurieren, kann sich dies dennoch als schwache Verbindung erweisen. Weiterlesen . Ein Beispiel ist Twitter. Vanilla Twitter ist gut, wenn Sie ein Konto haben Wenn Sie mehrere Konten für verschiedene Branchen und verschiedene Zielgruppen verwalten, benötigen Sie eine Anwendung wie Hootsuite oder TweetDeck. 6 kostenlose Möglichkeiten zum Planen von Tweets 6 kostenlose Möglichkeiten zum Planen von Tweets Bei Twitter geht es wirklich um das Hier und Jetzt. Sie finden einen interessanten Artikel, ein cooles Bild, ein fantastisches Video oder möchten einfach nur etwas mitteilen, das Sie gerade erst realisiert oder an das Sie gedacht haben. Entweder… Lesen Sie mehr .

Diese Anwendungen kommunizieren mit Twitter über ein sehr ähnliches Anmeldeverfahren, da auch sie direkten Zugriff auf Ihr soziales Netzwerk benötigen und die Benutzer aufgefordert werden, dieselben Berechtigungen zu erteilen. Es stellt ein schwieriges Szenario für viele Anbieter sozialer Netzwerke dar, da Apps von Drittanbietern so viel für den sozialen Bereich mit sich bringen und dennoch sowohl Benutzer als auch Anbieter mit Sicherheitseinbußen konfrontiert sind.

Zusammenfassen

Wir haben dreiteilige Schwachstellen in Bezug auf die soziale Anmeldung identifiziert, die Sie jetzt erkennen und hoffentlich vermeiden können sollten. Social-Sign-In-Hacks werden nicht über Nacht austrocknen. Die potenzielle Chance für Hacker 4 Top-Hacker-Gruppen und was sie wollen 4 Top-Hacker-Gruppen und was sie wollen Es ist leicht, Hacker-Gruppen als eine Art romantische Hinterraum-Revolutionäre zu betrachten. Aber wer sind sie wirklich? Wofür stehen sie und welche Angriffe haben sie in der Vergangenheit durchgeführt? Lesen Sie mehr ist zu groß. Wenn sich massive Technologien wie Facebook nicht im besten Interesse ihrer Nutzer verhalten, öffnen sie im Grunde die Tür und lassen sich von den Datenschutzmatten wischen.

Wurde Ihr soziales Konto von einem Dritten kompromittiert? Was ist passiert? Wie hast du dich erholt??

Bildnachweis: Binärcode über Shutterstock, Struktur über Pixabay

Erfahren Sie mehr über: Facebook, Online-Datenschutz, Online-Sicherheit.