Harry James
0 
1066
225
Iniciar sesión con Facebook. Inicia sesión con Google. Los sitios web aprovechan regularmente nuestro deseo de iniciar sesión con facilidad para garantizar que los visitemos y para asegurarnos de que obtengan una porción del pastel de datos personales. ¿Pero a qué precio? Un investigador de seguridad descubrió recientemente una vulnerabilidad en el Iniciar sesión con Facebook característica encontrada en muchos miles de sitios. Del mismo modo, un error en la interfaz de nombre de dominio de la aplicación Google expuso al público cientos de miles de datos privados..
Estos son problemas serios que enfrentan dos de los nombres técnicos más grandes del hogar. Si bien estos problemas se tratarán con la inquietud adecuada y se corregirán las vulnerabilidades, ¿se dará suficiente conocimiento al público? Veamos cada caso y lo que significa para su seguridad web..
Caso 1: Inicie sesión con Facebook
La vulnerabilidad de inicio de sesión con Facebook expone sus cuentas, pero no su contraseña real de Facebook, y las aplicaciones de terceros que ha instalado, como Bit.ly, Mashable, Vimeo, About.me, y anfitrión de otros.
La falla crítica, descubierta por Egor Homakov, investigador de seguridad de Sakurity, permite a los piratas informáticos abusar de un descuido en el código de Facebook. La falla proviene de la falta de Falsificación de solicitudes entre sitios (CSFR) protección para tres procesos diferentes: inicio de sesión de Facebook, cierre de sesión de Facebook y conexión de cuenta de terceros. La vulnerabilidad esencialmente permite que una parte no deseada realice acciones dentro de una cuenta autenticada. Puedes ver por qué esto sería un problema importante.
Sin embargo, Facebook, hasta ahora, ha elegido hacer muy poco para abordar el problema, ya que comprometería su propia compatibilidad con una gran cantidad de sitios. El tercer problema puede ser solucionado por cualquier propietario del sitio web en cuestión, pero los dos primeros se encuentran exclusivamente en la puerta de Facebook.
Para ejemplificar aún más la falta de acción realizada por Facebook, Homakov ha impulsado el problema aún más al lanzar una herramienta de hackers llamada RECONNECT. Esto explota el error, permitiendo a los piratas informáticos crear e insertar URL personalizadas utilizadas para secuestrar cuentas en sitios de terceros. Homakov podría ser llamado irresponsable por lanzar la herramienta ¿Cuál es la diferencia entre un buen hacker y un mal hacker? [Opinión] ¿Cuál es la diferencia entre un buen hacker y un mal hacker? [Opinión] De vez en cuando, escuchamos algo en las noticias sobre piratas informáticos que eliminan sitios, explotan una multitud de programas o amenazan con abrirse paso en áreas de alta seguridad donde no deberían pertenecer. Pero, si ..., pero la culpa recae directamente en la negativa de Facebook a corregir la vulnerabilidad traído a la luz hace más de un año.
Mientras tanto, permanece vigilante. No haga clic en enlaces que no sean de confianza de páginas con aspecto de spam, ni acepte solicitudes de amistad de personas que no conoce. Facebook también ha publicado una declaración que dice:
“Este es un comportamiento bien entendido. Los desarrolladores de sitios que usan el inicio de sesión pueden evitar este problema siguiendo nuestras mejores prácticas y utilizando el parámetro 'estado' que proporcionamos para el inicio de sesión de OAuth.”
Alentador.
Caso 1a: Quién no me hizo amigo?
Otros usuarios de Facebook están siendo víctimas de otro “Servicio” aprovechando el robo de credenciales de inicio de sesión de OAuth de terceros. El inicio de sesión de OAuth está diseñado para evitar que los usuarios ingresen su contraseña a cualquier aplicación o servicio de terceros, manteniendo el muro de seguridad.
Servicios como UnfriendAlert se aprovechan de las personas que intentan descubrir quién ha renunciado a su amistad en línea, pidiéndoles que ingresen sus credenciales de inicio de sesión y luego enviándolas directamente al sitio malicioso yougotunfriended.com. UnfriendAlert se clasifica como un programa potencialmente no deseado (PUP), que instala intencionalmente adware y malware.
Desafortunadamente, Facebook no puede detener por completo servicios como este, por lo que la responsabilidad de los usuarios del servicio es permanecer vigilantes. y no caer en cosas que parecen ser buenas para ser verdad.
Caso 2: error de Google Apps
Nuestra segunda vulnerabilidad se debe a una falla en el manejo de Google Apps de los registros de nombres de dominio. Si alguna vez ha registrado un sitio web, sabrá que proporcionar su nombre, dirección, dirección de correo electrónico y otra información privada importante es esencial para el proceso. Después del registro, cualquier persona con tiempo suficiente puede ejecutar un Quien es para encontrar esta información pública, a menos que haga una solicitud durante el registro para mantener la privacidad de sus datos personales. Esta característica generalmente tiene un costo y es completamente opcional.
Aquellas personas que registran sitios a través de eNom y solicitando un Whois privado encontró que sus datos se habían filtrado lentamente durante un período de aproximadamente 18 meses. El defecto del software, descubierto el 19 de febreroth y enchufado cinco días después, se filtraron datos privados cada vez que se renovó un registro, exponiendo potencialmente a individuos privados a cualquier número de problemas de protección de datos.
Acceder al lanzamiento de 282,000 registros masivos no es fácil. No lo encontrarás en la web. Pero ahora es una mancha indeleble en el historial de Google, y es igualmente indeleble de las vastas franjas de Internet. Y si incluso el 5%, el 10% o el 15% de las personas comienzan a recibir correos electrónicos altamente selectivos y malintencionados, esto genera un gran dolor de datos para Google y eNom.
Caso 3: Me engañó
Esta es una vulnerabilidad de red múltiple. Cada versión de Windows se ve afectada por esta vulnerabilidad: qué puede hacer al respecto. Todas las versiones de Windows se ven afectadas por esta vulnerabilidad: qué puede hacer al respecto. ¿Qué diría si le dijéramos que su versión de Windows está afectada por una vulnerabilidad que data de 1997? Lamentablemente, esto es cierto. Microsoft simplemente nunca lo parchó. ¡Tu turno! permitiendo que un hacker vuelva a explotar los sistemas de inicio de sesión de terceros aprovechados por tantos sitios populares. El hacker hace una solicitud con un servicio vulnerable identificado utilizando la dirección de correo electrónico de la víctima, una que el servicio vulnerable conoce previamente. El pirata informático puede falsificar los detalles del usuario con la cuenta falsa, obteniendo acceso a la cuenta social completa con la confirmación de verificación por correo electrónico.
Para que este truco funcione, el sitio de terceros debe admitir al menos otro inicio de sesión en la red social utilizando otro proveedor de identidad, o la capacidad de usar las credenciales locales del sitio web personal. Es similar al hack de Facebook, pero se ha visto en una amplia gama de sitios web, incluidos Amazon, LinkedIn y MYDIGIPASS, entre otros, y podría utilizarse para iniciar sesión en servicios sensibles con intenciones maliciosas..
No es un defecto, es una característica
Algunos de los sitios implicados en este modo de ataque en realidad no han dejado pasar una vulnerabilidad crítica por debajo del radar: están integrados directamente en el sistema ¿Su configuración de enrutador predeterminada lo hace vulnerable a los piratas informáticos y estafadores? ¿Su configuración de enrutador predeterminada lo hace vulnerable a los hackers y estafadores? Los enrutadores rara vez llegan a un estado seguro, pero incluso si se ha tomado el tiempo para configurar su enrutador inalámbrico (o con cable) correctamente, aún puede resultar ser el enlace débil. . Un ejemplo es Twitter. Vanilla Twitter es bueno, si tienes una cuenta Una vez que esté administrando varias cuentas, para diferentes industrias, acercándose a una variedad de audiencias, necesita una aplicación como Hootsuite o TweetDeck. 6 formas gratuitas de programar tweets. Encontrará un artículo interesante, una imagen genial, un video increíble, o tal vez solo quiera compartir algo de lo que acaba de darse cuenta o de lo que haya pensado. Ya sea… .
Estas aplicaciones se comunican con Twitter mediante un procedimiento de inicio de sesión muy similar, ya que también necesitan acceso directo a su red social, y se solicita a los usuarios que otorguen los mismos permisos. Crea un escenario difícil para muchos proveedores de redes sociales, ya que las aplicaciones de terceros aportan mucho a la esfera social, pero crean claramente inconvenientes de seguridad tanto para el usuario como para el proveedor..
Redondeo
Hemos identificado vulnerabilidades de inicio de sesión social de tres y un bit que ahora debería poder identificar y, con suerte, evitar. Los hacks de inicio de sesión social no se secarán de la noche a la mañana. La recompensa potencial para los piratas informáticos 4 Grupos principales de piratas informáticos y lo que quieren 4 Grupos principales de piratas informáticos y lo que quieren Es fácil pensar en los grupos piratas informáticos como una especie de revolucionarios románticos de la trastienda. ¿Pero quiénes son realmente? ¿Qué representan y qué ataques han llevado a cabo en el pasado? es demasiado bueno, y cuando compañías de tecnologías masivas como Facebook se niegan a actuar en el mejor interés de sus usuarios, básicamente está abriendo la puerta y permitiéndoles limpiarse el tapete de privacidad de datos.
¿Su cuenta social ha sido comprometida por un tercero? ¿Que pasó? Como te recuperaste?
Crédito de imagen: código binario a través de Shutterstock, estructura a través de Pixabay