Como facebook e google logins de sites podem levar ao roubo de dados
Video: Como Hacker Invade facebook em rede wifi aberta - InfoMáxima - CQC
Conteúdo
Entrar com o Facebook. Entrar com o Google. Sites alavancar regularmente o nosso desejo de entrar com facilidade para garantir que visitar, e para garantir que eles agarrar uma fatia do bolo de dados pessoais. Mas a que custo? Um pesquisador de segurança descobriu recentemente uma vulnerabilidade no Entrar com o Facebook característica encontrada em muitos milhares de sites. Da mesma forma, um erro na interface de nome de domínio Google App expostos centenas de milhares de indivíduos dados privados para o público.
Estas são questões sérias que enfrentam dois dos maiores tech-nomes da casa. Enquanto estas questões serão tratadas com desconforto apropriado e as vulnerabilidades corrigidas, é suficiente consciência dada ao público? Vamos olhar para cada caso, eo que isso significa para a sua segurança web.
Caso 1: Entrar com Facebook
O Login with Facebook vulnerabilidade expõe suas contas - mas não sua senha do Facebook real - e os aplicativos de terceiros que você instalou, como Bit.ly, Mashable, Vimeo, About.me, e muitos outros.
A falha crítica, descoberta por Egor Homakov, pesquisador de segurança para Sakurity, permite que hackers para abusar um descuido no código Facebook. A falha resulta de uma falta da adequada Cross-Site Request Forgery (RFCE) proteção para três processos diferentes: Facebook login, Facebook Sair, e conexão da conta de terceiros. A vulnerabilidade permite essencialmente um partido indesejado para executar ações dentro de uma conta autenticado. Você pode ver porque isso seria um problema significativo.
Video: ASP.Net MVC5 - Login using Google | Facebook | SQL Server
No entanto, o Facebook tem, ainda, eleito para fazer muito pouco para resolver o problema, uma vez que comprometeria a sua própria compatibilidade com um grande número de sites. O terceiro problema pode ser corrigido por qualquer proprietário de site em questão, mas os dois primeiros mentira exclusivamente na porta Facebook.
Para exemplificar ainda mais a falta de ação feito pelo Facebook, Homakov levou a questão adiante, lançando uma ferramenta de hackers chamado reconectar. Este explora o bug, deixando hackers criar e inserir URLs personalizados usados para sequestrar contas em sites de terceiros. Homakov poderia ser chamado irresponsável para libertar a ferramenta, mas a culpa recai diretamente com a recusa do Facebook para corrigir a vulnerabilidade trouxe à luz mais de um ano atrás.Qual é a diferença entre um bom Hacker & Um Hacker Bad? [Opinião]Qual é a diferença entre um bom Hacker & Um Hacker Bad? [Opinião]De vez em quando, ouvimos algo no notícias sobre hackers tomar para baixo locais, explorar uma infinidade de programas, ou ameaçando a mexer o seu caminho em áreas de alta segurança onde não deveriam pertencem. Mas se...consulte Mais informação
Nesse meio tempo, manter-se vigilante. Não clique em links não confiáveis a partir de páginas de spam para o futuro, ou aceitar pedidos de amizade de pessoas que você não conhece. Facebook também divulgou um comunicado dizendo:
“Este é um comportamento bem compreendido. desenvolvedores de sites que usam Acesso pode evitar esse problema seguindo nossas melhores práticas e utilizando o parâmetro ‘Estado` nós fornecemos para OAuth Login“.
Encorajando.
Caso 1a: Quem amigos mim?
Outros usuários do Facebook estão caindo presa para outro “serviço” predando de terceiros roubo de login OAuth credencial. O login OAuth é projetado para impedir que os usuários inserindo a senha a qualquer aplicação ou serviço de terceiros, mantendo o muro de segurança.
Serviços como UnfriendAlert presas em indivíduos que tentam descobrir quem renunciou a sua amizade on-line, pedindo às pessoas para entrar suas credenciais de login -, em seguida, enviá-los direto para o site malicioso yougotunfriended.com. UnfriendAlert é classificado como um programa potencialmente indesejado (PUP), a instalação intencionalmente adware e malware.
Infelizmente, o Facebook não pode totalmente parar serviços como este, por isso a responsabilidade recai sobre os usuários do serviço de permanecer vigilantes e não cair para coisas que parecem bom para ser verdade.
Caso 2: Bug Google Apps
Nossa segunda vulnerabilidade resulta de uma falha no Google Apps manipulação de registros de nomes de domínio. Se você já registrou um website, você saberá prestação de seu nome, endereço, endereço de e-mail e outras informações privadas importante é essencial para o processo. Após o registo, qualquer pessoa com tempo suficiente pode executar um Quem é para encontrar esta informação pública, a menos que você colocar um pedido durante o registro para manter seu privada dados pessoais. Esse recurso normalmente tem um custo, e é totalmente opcional.
Aqueles indivíduos registrando locais através eNom e solicitando uma Whois privado encontraram seus dados foram lentamente vazou durante um período de 18 meses-ou-lo. O defeito de software, descoberto em 19 de Fevereiroº e ligou cinco dias depois, vazou dados privados cada vez que um registro foi renovado, potencialmente expondo particulares para qualquer número de questões de protecção de dados.
Acessando o lançamento do disco 282.000 em massa não é fácil. Você não vai tropeçar em-lo na web. Mas agora é uma mancha indelével na reputação do Google, e é igualmente indelével das vastas áreas da Internet. E se ainda 5%, 10%, ou 15% dos indivíduos começar a receber altamente segmentados, lança malicioso phishing e-mails, este emite balões em uma grande dor de cabeça de dados para o Google e eNom.
Caso 3: Spoofed mim
Isto é um vulnerabilidade de rede múltipla permitindo que um hacker para explorar novamente o sinal de terceiros em sistemas alavancadas por tantos sites populares. O hacker coloca um pedido com um serviço vulnerável identificada usando o endereço de e-mail da vítima, que é previamente conhecida ao serviço vulnerável. O hacker pode então falsificar detalhes do usuário com a conta falsa, ganhando acesso à conta social completa, com verificação de e-mail confirmado.Cada versão do Windows é afetado por essa vulnerabilidade - o que você pode fazer sobre ele.Cada versão do Windows é afetado por essa vulnerabilidade - o que você pode fazer sobre ele.O que você diria se nós dissemos-lhe que a sua versão do Windows é afetado por uma vulnerabilidade que remonta a 1997? Infelizmente, isso é verdade. Microsoft simplesmente nunca remendado ele. Sua vez!consulte Mais informação
Para este hack funcionar, o site de terceiros deve suportar pelo menos um outro sinal-in rede social usando outro provedor de identidade, ou a capacidade de usar as credenciais de sites pessoais locais. É semelhante ao Facebook corte, mas foi visto em toda uma gama mais ampla de sites, incluindo Amazon, LinkedIn, e MYDIGIPASS entre outros, e poderia potencialmente ser usado para assinar em serviços sensíveis com intenção maliciosa.
Não é um defeito, é uma característica
Alguns dos locais implicados neste modo de ataque não realmente deixar uma vulnerabilidade crítica voar sob o radar: eles são construído directamente no sistema. Um exemplo é o Twitter. Vanilla Twitter é Boa, se você tem uma conta. Uma vez que você estiver gerenciando várias contas, para diferentes indústrias, se aproximando de uma variedade de audiências, você precisa de um aplicativo como Hootsuite ou TweetDeck.Será que o seu padrão de configuração do roteador torná-lo vulnerável a hackers & Scammers?Será que o seu padrão de configuração do roteador torná-lo vulnerável a hackers & Scammers?Routers raramente chegam em um estado seguro, mas mesmo se você tiver tomado a tempo para configurar sua rede sem fio (ou com fio) roteador corretamente, ele ainda pode vir a ser o elo mais fraco.consulte Mais informação
Estes aplicativos se comunicam com o Twitter utilizando um procedimento de login muito semelhante como eles também precisam de acesso directo à sua rede social, e os usuários são convidados a fornecer as mesmas permissões. Ele cria um cenário difícil para muitos provedores de rede social como aplicativos de terceiros trazer tanto para a esfera social, mas claramente criar inconvenientes de segurança para o usuário e provedor.
Video: COMO DEIXAR A ACC FACEBOOK MINICLIP E GOOGLE..
Arredondar para cima
Nós identificamos três-e-um-bit de sinal-in sociais vulnerabilidades agora você deve ser capaz de identificar e esperamos evitar. Sociais hacks de sessão não está indo para secar durante a noite. o recompensa potencial para hackers é muito grande, e quando as tecnologias enormes empresas como Facebook recusar-se a agir no melhor interesse de seus usuários, o produto é basicamente abrir a porta e deixá-los limpar os pés no capacho de privacidade de dados.4 grupos de hackers Principais eo que eles querem4 grupos de hackers Principais eo que eles queremÉ fácil pensar em grupos de hackers como uma espécie de revolucionários românticos de bastidores. Mas quem são eles realmente? O que eles representam, e que os ataques tenham eles realizaram no passado?consulte Mais informação
Tem sua conta sociais sido comprometida por um terceiro? O que aconteceu? Como você se recuperar?