Iklan

Masuk dengan Facebook. Login dengan Google. Situs web secara teratur meningkatkan keinginan kami untuk masuk dengan mudah untuk memastikan kami mengunjungi, dan untuk memastikan mereka mengambil sepotong kue data pribadi. Tetapi berapa biayanya? Seorang peneliti keamanan baru-baru ini menemukan kerentanan di Internet Masuk dengan Facebook fitur yang ditemukan di ribuan situs. Demikian pula, bug dalam antarmuka nama domain Google App mengekspos ratusan ribu individu data pribadi kepada publik.

Ini adalah masalah serius yang dihadapi dua nama teknologi rumah tangga terbesar. Sementara masalah-masalah ini akan ditangani dengan kegelisahan yang tepat dan kerentanan ditambal, apakah kesadaran cukup diberikan kepada publik? Mari kita lihat setiap kasus, dan apa artinya bagi keamanan web Anda.

Kasus 1: Masuk dengan Facebook

Login dengan kerentanan Facebook mengekspos akun Anda - tetapi bukan kata sandi Facebook Anda yang sebenarnya - dan aplikasi pihak ketiga yang telah Anda instal, seperti Bit.ly, Mashable, Vimeo, About.me, dan sejumlah orang lain.

Kelemahan kritis yang ditemukan oleh Egor Homakov, peneliti keamanan untuk Sakurity, memungkinkan peretas untuk menyalahgunakan pengawasan dalam kode Facebook. Kekurangannya bermula dari kurang tepat Pemalsuan Permintaan Lintas Situs (CSFR) perlindungan untuk tiga proses berbeda: Login Facebook, Logout Facebook, dan Koneksi Akun Pihak Ketiga. Kerentanan pada dasarnya memungkinkan pihak yang tidak diinginkan untuk melakukan tindakan dalam akun yang diautentikasi. Anda dapat melihat mengapa ini menjadi masalah yang signifikan.

muo-security-smb-password-theft

Namun Facebook, sampai saat ini, telah memilih untuk berbuat sangat sedikit untuk mengatasi masalah ini karena itu akan mengganggu kompatibilitas mereka sendiri dengan sejumlah besar situs. Masalah ketiga dapat diperbaiki oleh pemilik situs web yang bersangkutan, tetapi dua yang pertama terletak secara eksklusif di pintu Facebook.

Untuk lebih jauh mencontohkan kurangnya tindakan yang dilakukan oleh Facebook, Homakov telah mendorong masalah ini lebih jauh dengan merilis alat peretas bernama RECONNECT. Ini mengeksploitasi bug, membiarkan peretas membuat dan menyisipkan URL khusus yang digunakan untuk membajak akun di situs pihak ketiga. Homakov bisa dipanggil tidak bertanggung jawab untuk melepaskan alat Apa Perbedaan Antara Peretas Yang Baik & Peretas yang Buruk? [Pendapat]Sesekali, kami mendengar sesuatu di berita tentang peretas mengambil situs, mengeksploitasi a banyak program, atau mengancam untuk menggoyangkan jalan mereka ke area keamanan tinggi di mana mereka seharusnya bukan milik. Tapi jika... Baca lebih banyak , tetapi kesalahannya terletak pada penolakan Facebook untuk memperbaiki kerentanan tersebut dibawa ke cahaya lebih dari setahun yang lalu.

Login untuk Facebook

Sementara itu, tetap waspada. Jangan mengklik tautan yang tidak terpercaya dari halaman yang tampak seperti spam, atau menerima permintaan teman dari orang yang tidak Anda kenal. Facebook juga telah merilis pernyataan yang mengatakan:

“Ini adalah perilaku yang dipahami dengan baik. Pengembang situs yang menggunakan Login dapat mencegah masalah ini dengan mengikuti praktik terbaik kami dan menggunakan parameter 'status' yang kami sediakan untuk Login OAuth. "

Mendorong.

Kasus 1a: Who Unfriended Me?

Pengguna Facebook lainnya menjadi mangsa untuk "layanan" lain yang memangsa pencurian kredensial login pihak ketiga OAuth. Login OAuth dirancang untuk menghentikan pengguna memasukkan kata sandi mereka ke aplikasi atau layanan pihak ketiga, menjaga dinding keamanan.

Batalkan Teman Beritahu

Layanan seperti Peringatan Unfriend memangsa individu yang berusaha menemukan siapa yang telah melepaskan persahabatan daring mereka, meminta individu untuk memasukkan kredensial login mereka - kemudian mengirim mereka langsung ke situs jahat yougotunfriended.com. UnfriendAlert diklasifikasikan sebagai Program yang Mungkin Tidak Diinginkan (PUP), yang dengan sengaja menginstal adware dan malware.

Sayangnya, Facebook tidak dapat sepenuhnya menghentikan layanan seperti ini, sehingga tanggung jawab ada pada pengguna layanan untuk tetap waspada dan tidak jatuh pada hal-hal yang tampaknya baik untuk menjadi kenyataan.

Kasus 2: Bug Google Apps

Kerentanan kedua kami berasal dari cacat dalam Google Apps penanganan pendaftaran nama domain. Jika Anda pernah mendaftarkan situs web, Anda akan tahu ketentuan nama, alamat, alamat email, dan informasi pribadi penting lainnya sangat penting untuk proses tersebut. Setelah pendaftaran, siapa pun dengan waktu yang cukup bisa jalankan a Siapa yang untuk menemukan informasi publik ini, kecuali jika Anda mengajukan permintaan saat pendaftaran untuk menjaga data pribadi Anda tetap pribadi. Fitur ini biasanya dikenakan biaya, dan sepenuhnya opsional.

Masuk dengan Google

Orang-orang yang mendaftarkan situs melalui eNom dan meminta Whois pribadi menemukan data mereka perlahan bocor selama 18 bulan atau lebih. Kerusakan perangkat lunak, ditemukan pada 19 Februarith dan dicolokkan lima hari kemudian, membocorkan data pribadi setiap kali pendaftaran diperbarui, berpotensi mengekspos individu pribadi ke sejumlah masalah perlindungan data.

Whois Search

Mengakses 282.000 rilis rekaman massal tidak mudah. Anda tidak akan tersandung di web. Tetapi sekarang ini merupakan cacat yang tak terhapuskan pada rekam jejak Google, dan sama-sama tak terhapuskan dari petak luas Internet. Dan jika bahkan 5%, 10%, atau 15% dari individu mulai menerima email phising yang sangat bertarget dan berbahaya, masalah ini membengkak menjadi sakit kepala data utama untuk Google dan eNom.

Kasus 3: Spoofed Me

Ini adalah sebuah beberapa kerentanan jaringan Setiap Versi Windows Terkena Kerentanan Ini - Yang Dapat Anda Lakukan Tentang Ini.Apa yang akan Anda katakan jika kami memberi tahu Anda bahwa versi Windows Anda dipengaruhi oleh kerentanan yang berasal dari tahun 1997? Sayangnya, ini benar. Microsoft tidak pernah menambalnya. Giliranmu! Baca lebih banyak memungkinkan seorang peretas untuk kembali mengeksploitasi sistem masuk pihak ketiga dalam sistem yang dimanfaatkan oleh begitu banyak situs populer. Peretas menempatkan permintaan dengan layanan rentan yang diidentifikasi menggunakan alamat email korban, yang sebelumnya dikenal dengan layanan rentan. Peretas kemudian dapat memalsukan detail pengguna dengan akun palsu, mendapatkan akses ke akun sosial lengkap dengan verifikasi email yang dikonfirmasi.

Keamanan Bersih

Agar peretasan ini berhasil, situs pihak ketiga harus mendukung setidaknya satu masuk jaringan sosial lainnya menggunakan penyedia identitas lain, atau kemampuan untuk menggunakan kredensial situs web pribadi lokal. Ini mirip dengan hack Facebook, tetapi telah terlihat di berbagai situs web, termasuk Amazon, LinkedIn, dan MYDIGIPASS antara lain, dan berpotensi dapat digunakan untuk masuk ke layanan sensitif dengan niat jahat.

Ini Bukan Cacat, Ini Fitur

Beberapa situs yang terlibat dalam mode serangan ini sebenarnya tidak membiarkan kerentanan kritis terbang di bawah radar: benar dibangun langsung ke dalam sistem Apakah Konfigurasi Router Default Anda Membuat Anda Rentan terhadap Peretas & Penipu?Router jarang tiba dalam keadaan aman, tetapi bahkan jika Anda telah meluangkan waktu untuk mengkonfigurasi router nirkabel (atau kabel) Anda dengan benar, itu masih dapat terbukti sebagai tautan yang lemah. Baca lebih banyak . Salah satu contohnya adalah Twitter. Vanilla Twitter adalah baik, jika Anda memiliki satu akun. Setelah Anda mengelola beberapa akun, untuk industri yang berbeda, mendekati berbagai audiens, Anda memerlukan aplikasi seperti Hootsuite, atau TweetDeck 6 Cara Gratis untuk Menjadwalkan TweetMenggunakan Twitter benar-benar tentang di sini dan sekarang. Anda menemukan artikel yang menarik, gambar keren, video yang luar biasa, atau mungkin Anda hanya ingin membagikan sesuatu yang baru Anda sadari atau pikirkan. Antara... Baca lebih banyak .

Struktur

Aplikasi ini berkomunikasi dengan Twitter menggunakan prosedur masuk yang sangat mirip karena mereka juga membutuhkan akses langsung ke jejaring sosial Anda, dan pengguna diminta untuk memberikan izin yang sama. Ini menciptakan skenario yang sulit bagi banyak penyedia jaringan sosial karena aplikasi pihak ketiga membawa begitu banyak ke ranah sosial, namun jelas menciptakan ketidaknyamanan keamanan bagi pengguna dan penyedia.

Pembulatan

Kami telah mengidentifikasi kerentanan masuk sosial tiga-dan-sedikit yang harus Anda identifikasi sekarang dan semoga dihindari. Peretasan login sosial tidak akan mengering semalaman. Itu hasil potensial untuk peretas 4 Grup Peretas Top Dan Apa Yang Mereka InginkanSangat mudah untuk menganggap kelompok peretas sebagai semacam revolusioner ruang belakang yang romantis. Tapi siapa mereka sebenarnya? Apa yang mereka perjuangkan, dan serangan apa yang telah mereka lakukan di masa lalu? Baca lebih banyak terlalu hebat, dan ketika perusahaan teknologi besar seperti Facebook menolak untuk bertindak demi kepentingan terbaik pengguna mereka, itu pada dasarnya membuka pintu dan membiarkan mereka menyeka kaki mereka pada privasi data keset.

Apakah akun sosial Anda dikompromikan oleh pihak ketiga? Apa yang terjadi? Bagaimana Anda pulih?

Kredit Gambar:Kode biner Melalui Shutterstock, Struktur melalui Pixabay

Gavin adalah Penulis Senior untuk MUO. Dia juga Editor dan Manajer SEO untuk situs saudara perempuan yang berfokus pada crypto MakeUseOf, Blocks Decoded. Ia memiliki gelar BA (Hons), Menulis Kontemporer dengan Praktik Seni Digital yang dijarah dari perbukitan Devon, serta lebih dari satu dekade pengalaman menulis profesional. Dia menikmati banyak teh.