Wie Facebook & Google Website Logins zu Datendiebstahl führen können

Mit Facebook einloggen. Melde dich mit Google an. Websites nutzen unseren Wunsch, sich mit Leichtigkeit anzumelden, aber zu welchen Kosten? Sicherheitslücken mit beliebten Webseiten-Login-Systemen von Google und Facebook haben Sicherheitsbedenken aufgeworfen.

Mit Facebook einloggen.  Melde dich mit Google an.  Websites nutzen unseren Wunsch, sich mit Leichtigkeit anzumelden, aber zu welchen Kosten?  Sicherheitslücken mit beliebten Webseiten-Login-Systemen von Google und Facebook haben Sicherheitsbedenken aufgeworfen.
Werbung

Mit Facebook einloggen. Melde dich mit Google an. Websites nutzen regelmäßig unseren Wunsch, sich mit Leichtigkeit anzumelden, um sicherzustellen, dass wir sie besuchen, und um sicherzustellen, dass sie sich ein Stück vom persönlichen Daten-Kuchen nehmen. Aber zu welchen Kosten? Ein Sicherheitsforscher hat kürzlich eine Schwachstelle in der Funktion " Login mit Facebook" entdeckt, die auf vielen tausend Websites zu finden ist. Ein Fehler in der Benutzeroberfläche der Google App-Domain-Namen hat in der Öffentlichkeit Hunderttausende privater Daten veröffentlicht.

Dies sind schwerwiegende Probleme, denen sich zwei der größten Namen im Bereich Haushalt gegenübersehen. Während diese Probleme mit einem entsprechenden Unbehagen behandelt werden und die Schwachstellen behoben werden, wird der Öffentlichkeit genügend Aufmerksamkeit geschenkt? Schauen wir uns jeden Fall an und was es für Ihre Websicherheit bedeutet.

Fall 1: Einloggen mit Facebook

Die Sicherheitsanfälligkeit "Mit Facebook anmelden" stellt Ihre Konten - jedoch nicht Ihr tatsächliches Facebook-Passwort - und die von Ihnen installierten Anwendungen von Drittanbietern wie Bit.ly, Mashable, Vimeo, About.me und andere Hosts zur Verfügung.

Der kritische Fehler, den Egor Homakov, Sicherheitsforscher für Sakurity, entdeckt hat, erlaubt es Hackern, einen Versehen im Facebook-Code zu missbrauchen. Der Fehler beruht auf einem fehlenden CSFR-Schutz ( Cross-Site Request Forgery ) für drei verschiedene Prozesse: Facebook-Anmeldung, Facebook-Abmeldung und Kontoverbindung eines Drittanbieters. Die Sicherheitsanfälligkeit ermöglicht es im Wesentlichen einer unerwünschten Partei, Aktionen innerhalb eines authentifizierten Kontos auszuführen. Sie können sehen, warum dies ein bedeutendes Problem wäre.

muo-security-smb-Passwort-Diebstahl

Dennoch hat sich Facebook bisher dazu entschlossen, wenig zu tun, um das Problem anzugehen, da es die eigene Kompatibilität mit einer Vielzahl von Websites gefährden würde. Das dritte Problem kann von jedem betroffenen Website-Besitzer behoben werden, aber die ersten beiden liegen ausschließlich an der Facebook-Tür.

Um das mangelnde Handeln von Facebook weiter zu veranschaulichen, hat Homakov das Thema weiter vorangetrieben, indem ein Hacker-Tool namens RECONNECT veröffentlicht wurde. Dadurch wird der Fehler ausgenutzt und Hacker können benutzerdefinierte URLs erstellen und einfügen, die zum Entführen von Konten auf Websites von Drittanbietern verwendet werden. Homakov könnte für die Veröffentlichung des Tools unverantwortlich genannt werden Was ist der Unterschied zwischen einem guten Hacker und einem schlechten Hacker? [Meinung] Was ist der Unterschied zwischen einem guten Hacker & einem schlechten Hacker? [Meinung] Hin und wieder hören wir etwas in den Nachrichten über Hacker, die Websites herunterfahren, eine Vielzahl von Programmen ausnutzen oder damit drohen, sich in Hochsicherheitsbereiche zu winden, in die sie nicht gehören sollten. Aber, wenn ... Lesen Sie mehr, aber die Schuld liegt direkt in Facebooks Weigerung, die Schwachstelle, die vor über einem Jahr ans Licht gebracht wurde, zu patchern .

Einloggen für Facebook

Bleiben Sie in der Zwischenzeit wachsam. Klicken Sie nicht auf nicht vertrauenswürdige Links von spammy-looking Seiten, oder akzeptieren Sie Freundschaftsanfragen von Personen, die Sie nicht kennen. Facebook hat auch eine Erklärung veröffentlicht, die besagt:

"Dies ist ein gut verstandenes Verhalten. Site-Entwickler, die Login verwenden, können dieses Problem verhindern, indem sie unseren Best Practices folgen und den Parameter 'state' verwenden, den wir für die OAuth-Anmeldung bereitstellen. "

Ermutigend.

Fall 1a: Wer hat mich angefreundet?

Andere Facebook-Nutzer sind Opfer eines anderen "Dienstes", der auf den Diebstahl von OAuth-Anmeldedaten von Drittanbietern stößt. Die OAuth-Anmeldung verhindert, dass Benutzer ihr Kennwort für Anwendungen oder Dienste von Drittanbietern eingeben, wodurch die Sicherheitsfunktion aufrechterhalten wird.

Unfriend Benachrichtigen

Dienste wie UnfriendAlert sind Opfer von Personen, die versuchen herauszufinden, wer ihre Online-Freundschaft aufgegeben hat, und bitten Personen, ihre Anmeldedaten einzugeben - und dann direkt an die bösartige Website yougotunfriended.com zu senden . UnfriendAlert wird als potentiell unerwünschtes Programm (PUP) klassifiziert und installiert absichtlich Adware und Malware.

Leider kann Facebook Dienste wie diesen nicht vollständig einstellen, daher liegt es an den Servicebenutzern, wachsam zu bleiben und nicht auf Dinge zu achten , die gut zu sein scheinen, um wahr zu sein.

Fall 2: Google Apps Bug

Unsere zweite Sicherheitslücke beruht auf einem Fehler bei der Verarbeitung von Domain-Namen durch Google Apps. Wenn Sie jemals eine Website registriert haben, wissen Sie, dass die Bereitstellung Ihres Namens, Ihrer Adresse, Ihrer E-Mail-Adresse und anderer wichtiger privater Informationen für den Prozess unerlässlich ist. Nach der Registrierung kann jeder, der genügend Zeit hat, ein Whois ausführen, um diese öffentlichen Informationen zu finden, es sei denn, Sie stellen während der Registrierung eine Anfrage, um Ihre persönlichen Daten geheim zu halten. Diese Funktion hat normalerweise ihren Preis und ist völlig optional.

Anmeldung mit Google

Jene Personen, die Websites über eNom registrieren und ein privates Whois anfordern, haben festgestellt, dass ihre Daten über einen Zeitraum von 18 Monaten oder so langsam geleakt wurden. Der Softwarefehler, der am 19. Februar entdeckt und fünf Tage später behoben wurde, ließ jedes Mal, wenn eine Registrierung erneuert wurde, private Daten durchsickern, wodurch Privatpersonen potenziell mit einer Reihe von Datenschutzproblemen konfrontiert wurden.

Whois Suche

Zugriff auf die 282.000 Bulk-Record-Release ist nicht einfach. Sie werden nicht darüber im Internet stolpern. Aber es ist jetzt ein unauslöschlicher Makel in der Erfolgsbilanz von Google und ist ebenso unauslöschlich von den weiten Bereichen des Internets. Und wenn sogar 5%, 10% oder 15% der Personen sehr gezielte, bösartige Spear-Phishing-E-Mails erhalten, führt dies zu großen Kopfschmerzen bei Google und eNom.

Fall 3: Ich habe mich verarscht

Dies ist eine Sicherheitsanfälligkeit durch mehrere Netzwerke. Jede Version von Windows ist von dieser Sicherheitsanfälligkeit betroffen - was Sie dagegen tun können. Jede Version von Windows ist von dieser Sicherheitsanfälligkeit betroffen - was Sie dagegen tun können. Was würden Sie sagen, wenn wir Ihnen mitteilen würden, dass Ihre Version von Windows von einer Sicherheitslücke betroffen ist, die auf das Jahr 1997 zurückgeht? Leider ist das wahr. Microsoft hat es einfach nie gepatcht. Du bist dran! Read More ermöglicht es einem Hacker, die Signaturen von Drittanbietern, die von so vielen beliebten Websites genutzt werden, erneut zu nutzen. Der Hacker platziert eine Anfrage mit einem identifizierten anfälligen Dienst unter Verwendung der E-Mail-Adresse des Opfers, die dem anfälligen Dienst zuvor bekannt war. Der Hacker kann dann die Benutzerdetails mit dem gefälschten Konto spoofieren und erhält so Zugriff auf das soziale Konto mit bestätigter E-Mail-Bestätigung.

Netzsicherheit

Damit dieser Hack funktioniert, muss die Website eines Drittanbieters mindestens eine weitere Anmeldung für ein soziales Netzwerk unter Verwendung eines anderen Identitätsanbieters oder die Möglichkeit zur Verwendung der lokalen persönlichen Website-Anmeldeinformationen unterstützen. Es ähnelt dem Facebook-Hack, wurde aber auf einer breiteren Palette von Websites gesehen, darunter Amazon, LinkedIn und MYDIGIPASS unter anderem, und könnte potentiell verwendet werden, um sich in böswilliger Absicht in sensible Dienste einzutragen.

Es ist kein Fehler, es ist ein Feature

Einige der Sites, die mit dieser Art von Angriffen in Verbindung gebracht werden, haben nicht wirklich eine kritische Schwachstelle unter dem Radar fliegen lassen: Sie sind direkt in das System eingebaut. Macht Ihre Standard-Router-Konfiguration Sie anfällig für Hacker und Betrüger? Ist Ihre Standard-Router-Konfiguration anfällig für Hacker und Betrüger? Router kommen selten in einem sicheren Zustand an, aber selbst wenn Sie sich die Zeit genommen haben, Ihren drahtlosen (oder kabelgebundenen) Router richtig zu konfigurieren, kann er sich immer noch als der schwache Link erweisen. Weiterlesen . Ein Beispiel ist Twitter. Vanilla Twitter ist gut, wenn du einen Account hast. Sobald Sie mehrere Konten verwalten, für verschiedene Branchen, nähern sich eine Reihe von Zielgruppen, benötigen Sie eine Anwendung wie Hootsuite, oder TweetDeck 6 Free Ways to Tweets Planen 6 Kostenlose Möglichkeiten, Tweets zu planen Mit Twitter geht es wirklich um das Hier und Jetzt. Du findest einen interessanten Artikel, ein cooles Bild, ein tolles Video oder vielleicht möchtest du einfach etwas teilen, was du gerade realisiert oder gedacht hast. Entweder ... Lesen Sie mehr.

Struktur

Diese Anwendungen kommunizieren mit Twitter über ein sehr ähnliches Anmeldeverfahren, da auch sie direkten Zugriff auf Ihr soziales Netzwerk benötigen und die Benutzer aufgefordert werden, die gleichen Berechtigungen bereitzustellen. Für viele Anbieter sozialer Netzwerke stellt dies ein schwieriges Szenario dar, da Apps von Drittanbietern so viel in den sozialen Bereich bringen und dennoch Sicherheitsbedenken für Benutzer und Anbieter schaffen.

Zusammenfassen

Wir haben dreiunddreißig soziale Sicherheitsanfälligkeiten identifiziert, die Sie jetzt identifizieren und hoffentlich vermeiden können. Social Sign-in-Hacks werden nicht über Nacht austrocknen. Die potentielle Auszahlung für Hacker 4 Top-Hacker-Gruppen und was sie wollen 4 Top-Hacker-Gruppen und was sie wollen Es ist leicht, Hacker-Gruppen als eine Art romantische Hinterzimmer-Revolutionäre zu betrachten. Aber wer sind sie wirklich? Wofür stehen sie und welche Angriffe haben sie in der Vergangenheit durchgeführt? Read More ist zu groß, und wenn massive Technologien wie Facebook sich weigern, im besten Interesse ihrer Nutzer zu handeln, öffnet es im Grunde die Tür und lässt sie auf der Datensicherheits-Fußmatte ihre Füße abwischen.

Wurde Ihr Social Account von einem Drittanbieter kompromittiert? Was ist passiert? Wie hast du dich erholt?

Bildquelle: Binärcode Über Shutterstock, Struktur über Pixabay

In this article