Comment les identifiants Facebook et Google peuvent mener au vol de données
Se connecter avec Facebook. Connectez-vous avec Google. Les sites Web mobilisent régulièrement notre volonté de nous connecter avec facilité pour nous assurer de rendre visite à notre site et pour nous assurer de saisir une part du gâteau. Mais à quel prix? Un chercheur en sécurité a récemment découvert une vulnérabilité dans le Se connecter avec Facebook fonctionnalité trouvée sur plusieurs milliers de sites. De même, un bogue de l'interface de nom de domaine Google App a exposé au public des centaines de milliers de données privées..
Ce sont des problèmes graves auxquels sont confrontés deux des plus grands noms de la technologie domestique. Bien que ces problèmes soient traités avec le malaise approprié et que les vulnérabilités soient corrigées, le public est-il suffisamment sensibilisé? Examinons chaque cas et ce que cela signifie pour votre sécurité Web.
Cas 1: Connectez-vous avec Facebook
La vulnérabilité de connexion avec Facebook expose vos comptes - mais pas votre mot de passe Facebook actuel - et les applications tierces que vous avez installées, telles que Bit.ly, Mashable, Vimeo, About.me, et hôte des autres.
La faille critique, découverte par Egor Homakov, chercheur en sécurité chez Sakurity, permet aux pirates informatiques d’abuser du contrôle dans le code de Facebook. La faille provient d'un manque de ressources Contrefaçon de requête intersite (CSFR) pour trois processus différents: connexion Facebook, déconnexion Facebook et connexion à un compte tiers. La vulnérabilité permet essentiellement à une partie non désirée d’effectuer des actions au sein d’un compte authentifié. Vous pouvez voir pourquoi ce serait un problème important.
Pourtant, Facebook a jusqu'à présent choisi de faire très peu pour remédier à ce problème, car cela compromettrait sa propre compatibilité avec un grand nombre de sites. Le troisième problème peut être résolu par tout propriétaire de site Web concerné, mais les deux premiers se trouvent exclusivement sur Facebook..
Pour illustrer davantage le manque d’action de Facebook, Homakov a poussé la question plus loin en publiant un outil de piratage nommé RECONNECT. Cela exploite le bogue, laissant les pirates créer et insérer des URL personnalisées utilisées pour détourner des comptes sur des sites tiers. Homakov pourrait être qualifié d'irresponsable pour la publication de l'outil Quelle est la différence entre un bon pirate et un mauvais pirate? [Opinion] Quelle est la différence entre un bon pirate & un mauvais pirate? [Opinion] De temps en temps, nous entendons quelque chose dans les nouvelles selon lesquelles des pirates informatiques détruisent des sites, exploitent une multitude de programmes ou menacent de se faufiler dans des zones de haute sécurité où ils ne devraient pas appartenir. Mais, si… Lire la suite, mais le refus de Facebook de corriger la vulnérabilité incombe clairement à Facebook mis en lumière il y a plus d'un an.
En attendant, restez vigilant. Ne cliquez pas sur des liens non fiables de pages spammées, ni n'acceptez les demandes d'amis de personnes que vous ne connaissez pas. Facebook a également publié une déclaration disant:
“C'est un comportement bien compris. Les développeurs de sites utilisant Login peuvent éviter ce problème en suivant nos meilleures pratiques et en utilisant le paramètre "state" que nous fournissons pour OAuth Login..”
Encourageant.
Cas 1a: Qui m'a désavoué?
D'autres utilisateurs de Facebook deviennent une proie pour un autre “un service” s'attaquant à un tiers des informations d'identification de connexion OAuth. La connexion OAuth est conçue pour empêcher les utilisateurs de saisir leur mot de passe pour toute application ou service tiers, tout en maintenant le mur de sécurité..
Des services tels que UnfriendAlert s'attaquent à des individus qui tentent de découvrir qui a abandonné leur amitié en ligne, en leur demandant de saisir leurs identifiants de connexion, puis en les envoyant directement sur un site malveillant yougotunfriended.com. UnfriendAlert est classé comme un programme potentiellement indésirable (PUP), installant intentionnellement adware et un malware.
Malheureusement, Facebook ne peut pas complètement arrêter des services comme celui-ci, il incombe donc aux utilisateurs du service de rester vigilants. et ne pas tomber pour des choses qui semblent trop belles pour être vraies.
Cas 2: Bug Google Apps
Notre deuxième vulnérabilité découle d’une faille dans la gestion par Google Apps des enregistrements de noms de domaine. Si vous avez déjà enregistré un site Web, vous saurez que la communication de vos nom, adresse, adresse de courrier électronique et autres informations privées importantes est essentielle au processus. Après l'inscription, toute personne disposant de suffisamment de temps peut exécuter une Qui est pour trouver cette information publique, à moins que vous ne demandiez lors de votre inscription de garder vos données personnelles confidentielles. Cette fonctionnalité a généralement un coût et est entièrement optionnelle..
Les personnes qui enregistrent des sites via eNom et demandant un Whois privé a constaté que leurs données avaient lentement été divulguées sur une période de 18 mois environ. Le défaut logiciel découvert le 19 févrierth et branché cinq jours plus tard, des données privées divulguées chaque fois qu'un enregistrement était renouvelé, exposant potentiellement des particuliers à un certain nombre de problèmes de protection des données.
Accéder à la publication de 282 000 enregistrements en bloc n'est pas facile. Vous ne tomberez pas sur cela sur le Web. Mais c’est maintenant une tache indélébile dans les antécédents de Google, et elle est également indélébile aux vastes étendues d’Internet. Et même si 5%, 10% ou 15% des individus commencent à recevoir des e-mails de spear phishing malveillants et hautement ciblés, cela devient un véritable casse-tête pour les données, tant pour Google que pour eNom..
Cas 3: Me falsifier
Il s'agit d'une vulnérabilité de réseau multiple. Chaque version de Windows est affectée par cette vulnérabilité. Que pouvez-vous faire à ce sujet? Chaque version de Windows est affectée par cette vulnérabilité - Que pouvez-vous faire à ce sujet? Que diriez-vous si nous vous disions que votre version de Windows est affectée par une vulnérabilité remontant à 1997? Malheureusement, c'est vrai. Microsoft ne l'a tout simplement jamais corrigé. À ton tour! En savoir plus, permettant à un pirate d’exploiter à nouveau les systèmes de connexion tiers exploités par autant de sites populaires. Le pirate informatique place une demande auprès d'un service vulnérable identifié à l'aide de l'adresse de messagerie de la victime, une adresse connue auparavant du service vulnérable. Le pirate informatique peut ensuite usurper les informations de l'utilisateur avec le faux compte, en accédant au compte social avec la vérification de l'e-mail confirmée..
Pour que ce piratage fonctionne, le site tiers doit prendre en charge au moins une autre connexion de réseau social utilisant un autre fournisseur d'identité ou la possibilité d'utiliser les informations d'identification de site Web personnel local. Il ressemble au piratage Facebook, mais a été observé sur de nombreux sites Web, notamment Amazon, LinkedIn et MYDIGIPASS, et pourrait éventuellement être utilisé pour la connexion à des services sensibles avec une intention malveillante..
Ce n'est pas un défaut, c'est une fonctionnalité
Certains des sites impliqués dans ce mode d'attaque n'ont en réalité pas laissé passer une vulnérabilité critique sous le radar: ils sont directement intégrés au système. La configuration par défaut de votre routeur vous rend-elle vulnérable aux pirates informatiques et aux fraudeurs? Votre configuration de routeur par défaut vous rend-il vulnérable aux pirates informatiques et aux fraudeurs? Les routeurs arrivent rarement dans un état sécurisé, mais même si vous avez pris le temps de configurer votre routeur sans fil (ou filaire) correctement, il peut tout de même s'avérer être le maillon faible. Lire la suite . Un exemple est Twitter. Vanilla Twitter est bien, si vous avez un compte. Une fois que vous gérez plusieurs comptes, pour différents secteurs et touchant différents publics, vous avez besoin d’une application telle que Hootsuite ou TweetDeck. Vous trouvez un article intéressant, une photo géniale, une vidéo géniale, ou peut-être voulez-vous simplement partager quelque chose que vous venez de réaliser ou auquel vous pensez? Soit… Lire la suite .
Ces applications communiquent avec Twitter à l'aide d'une procédure de connexion très similaire, car elles ont également besoin d'un accès direct à votre réseau social. Les utilisateurs sont invités à fournir les mêmes autorisations. Cela crée un scénario difficile pour de nombreux fournisseurs de réseaux sociaux, car les applications tierces apportent beaucoup à la sphère sociale, tout en créant clairement des inconvénients pour la sécurité des utilisateurs et des fournisseurs..
Roundup
Nous avons identifié des vulnérabilités de connexion sociale à trois bits et un peu que vous devriez maintenant être en mesure d'identifier et que nous espérons éviter. Les hacks de connexion sociale ne vont pas se tarir du jour au lendemain. Le gain potentiel pour les pirates 4 groupes de pirates haut de gamme et ce qu'ils veulent 4 groupes de pirates de haut niveau et ce qu'ils veulent Il est facile de penser à des groupes de pirates informatiques comme à une sorte de révolutionnaire romantique en coulisses. Mais qui sont-ils vraiment? Que représentent-ils et quelles attaques ont-ils menées par le passé? Lire la suite est trop génial, et lorsque des entreprises de technologies comme Facebook refusent d’agir dans l’intérêt de leurs utilisateurs, c’est en gros une porte ouverte qui leur permet de s’essuyer sur le paillasson de la confidentialité des données..
Votre compte social a-t-il été compromis par un tiers? Qu'est-il arrivé? Comment as-tu récupéré?
Crédit d'image: code binaire via Shutterstock, structure via Pixabay
En savoir plus sur: Facebook, confidentialité en ligne, sécurité en ligne.