Đăng nhập Facebook. Đăng nhập với Google. Các trang web thường xuyên thúc đẩy mong muốn đăng nhập của chúng tôi một cách dễ dàng để đảm bảo chúng tôi truy cập và đảm bảo chúng nắm được một phần của chiếc bánh dữ liệu cá nhân. Nhưng với chi phí nào? Một nhà nghiên cứu bảo mật gần đây đã phát hiện ra một lỗ hổng trong ứng dụng Đăng nhập bằng Facebook tính năng được tìm thấy trên hàng nghìn trang web. Tương tự, một lỗi trong giao diện tên miền của Ứng dụng Google đã làm lộ ra công khai hàng trăm nghìn dữ liệu riêng tư của cá nhân.
Đây là những vấn đề nghiêm trọng mà hai trong số những tên tuổi công nghệ gia dụng lớn nhất phải đối mặt. Trong khi những vấn đề này sẽ được xử lý bằng sự thoải mái thích hợp và các lỗ hổng bảo mật được vá, liệu công chúng có đủ nhận thức? Hãy xem xét từng trường hợp và ý nghĩa của nó đối với bảo mật web của bạn.
Trường hợp 1:Đăng nhập bằng Facebook
Lỗ hổng Đăng nhập bằng Facebook làm lộ tài khoản của bạn - nhưng không phải mật khẩu Facebook thực của bạn - và các ứng dụng của bên thứ ba mà bạn đã cài đặt, chẳng hạn như Bit.ly, Mashable, Vimeo, About.me và máy chủ của những người khác.
Lỗ hổng nghiêm trọng được phát hiện bởi Egor Homakov, nhà nghiên cứu bảo mật của Sakurity, cho phép tin tặc lạm dụng sự giám sát trong mã Facebook. Lỗ hổng bắt nguồn từ việc thiếu Yêu cầu chéo trang web thích hợp (CSFR) bảo vệ cho ba quá trình khác nhau:Đăng nhập Facebook, Đăng xuất Facebook và Kết nối tài khoản bên thứ ba. Về cơ bản, lỗ hổng bảo mật cho phép một bên không mong muốn thực hiện các hành động trong tài khoản được xác thực. Bạn có thể hiểu tại sao đây lại là một vấn đề quan trọng.
Tuy nhiên, Facebook vẫn được chọn làm rất ít để giải quyết vấn đề vì nó sẽ ảnh hưởng đến khả năng tương thích của chính họ với một số lượng lớn các trang web. Vấn đề thứ ba có thể được khắc phục bởi bất kỳ chủ sở hữu trang web có liên quan nào, nhưng hai vấn đề đầu tiên chỉ nằm ở cửa Facebook.
Để minh chứng thêm cho việc Facebook thiếu hành động, Homakov đã đẩy vấn đề đi xa hơn bằng cách phát hành một công cụ tin tặc có tên RECONNECT. Điều này khai thác lỗi, cho phép tin tặc tạo và chèn các URL tùy chỉnh được sử dụng để chiếm đoạt tài khoản trên các trang web của bên thứ ba. Homakov có thể bị gọi là vô trách nhiệm trong việc phát hành công cụ này, nhưng nguyên nhân là do Facebook từ chối vá lỗ hổng bảo mật được đưa ra ánh sáng hơn một năm trước .
Trong khi chờ đợi, hãy cảnh giác. Đừng nhấp vào các liên kết không đáng tin cậy từ các trang có nội dung spam hoặc chấp nhận lời mời kết bạn từ những người bạn không biết. Facebook cũng đã đưa ra một tuyên bố rằng:
"Đây là một hành vi được hiểu rõ. Các nhà phát triển trang web sử dụng Đăng nhập có thể ngăn chặn vấn đề này bằng cách làm theo các phương pháp hay nhất của chúng tôi và sử dụng thông số 'trạng thái' mà chúng tôi cung cấp cho Đăng nhập OAuth."
Khuyến khích.
Trường hợp 1a:Ai đã hủy kết bạn với tôi?
Những người dùng Facebook khác đang trở thành con mồi cho một “dịch vụ” khác săn đuổi hành vi trộm cắp thông tin đăng nhập OAuth của bên thứ ba. Đăng nhập OAuth được thiết kế để ngăn người dùng nhập mật khẩu của họ vào bất kỳ ứng dụng hoặc dịch vụ nào của bên thứ ba, duy trì bức tường bảo mật.
Các dịch vụ như UnfriendAlert săn đuổi các cá nhân cố gắng khám phá ai đã từ bỏ tình bạn trực tuyến của họ, yêu cầu các cá nhân nhập thông tin đăng nhập của họ - sau đó gửi thẳng đến trang web độc hại yougotunfriended.com . UnfriendAlert được phân loại là Chương trình có khả năng không mong muốn (PUP), cố ý cài đặt phần mềm quảng cáo và phần mềm độc hại.
Thật không may, Facebook không thể ngừng hoàn toàn các dịch vụ như thế này, vì vậy, người dùng dịch vụ cần phải cảnh giác và không để những điều có vẻ tốt là đúng.
Trường hợp 2:Lỗi Google Apps
Lỗ hổng thứ hai của chúng tôi bắt nguồn từ một lỗ hổng trong việc xử lý đăng ký tên miền của Google Apps. Nếu bạn đã từng đăng ký một trang web, bạn sẽ biết việc cung cấp tên, địa chỉ, địa chỉ email và thông tin cá nhân quan trọng khác của bạn là điều cần thiết cho quá trình này. Sau khi đăng ký, bất kỳ ai có đủ thời gian đều có thể chạy Whois để tìm thông tin công khai này, trừ khi bạn yêu cầu trong khi đăng ký để giữ dữ liệu cá nhân của bạn ở chế độ riêng tư. Tính năng này thường có phí và hoàn toàn là tùy chọn.
Những cá nhân đăng ký trang web thông qua eNom và yêu cầu Whois riêng tư nhận thấy dữ liệu của họ đã dần bị rò rỉ trong khoảng thời gian 18 tháng hoặc lâu hơn. Lỗi phần mềm, được phát hiện vào ngày 19 tháng 2 và 5 ngày sau, dữ liệu cá nhân bị rò rỉ mỗi khi gia hạn đăng ký, có khả năng khiến các cá nhân gặp bất kỳ vấn đề nào về bảo vệ dữ liệu.
Truy cập vào bản phát hành hàng loạt 282.000 bản ghi không dễ dàng. Bạn sẽ không tình cờ tìm thấy nó trên web. Nhưng giờ đây nó là một vết nhơ không thể xóa nhòa trên thành tích của Google, và cũng không thể xóa nhòa được trên một vùng rộng lớn của Internet. Và nếu thậm chí 5%, 10% hoặc 15% cá nhân bắt đầu nhận được email lừa đảo có mục tiêu cao, độc hại, thì vấn đề này sẽ trở thành một vấn đề dữ liệu lớn cho cả Google và eNom.
Trường hợp 3:Tôi giả mạo
Đây là một lỗ hổng mạng cho phép tin tặc một lần nữa khai thác hệ thống đăng nhập của bên thứ ba được sử dụng bởi rất nhiều trang web phổ biến. Tin tặc đặt một yêu cầu với một dịch vụ dễ bị tấn công đã được xác định bằng cách sử dụng địa chỉ email của nạn nhân, một địa chỉ mà trước đây đã biết đến với dịch vụ dễ bị tấn công. Sau đó, tin tặc có thể giả mạo thông tin chi tiết của người dùng bằng tài khoản giả mạo, giành quyền truy cập vào tài khoản xã hội hoàn tất với quá trình xác minh email đã được xác nhận.
Để hack này hoạt động, trang web của bên thứ ba phải hỗ trợ ít nhất một đăng nhập mạng xã hội khác bằng cách sử dụng nhà cung cấp danh tính khác hoặc khả năng sử dụng thông tin đăng nhập trang web cá nhân địa phương. Nó tương tự như vụ hack Facebook, nhưng đã được phát hiện trên một loạt các trang web, bao gồm Amazon, LinkedIn và MYDIGIPASS trong số những người khác, và có thể được sử dụng để đăng nhập vào các dịch vụ nhạy cảm với mục đích xấu.
Đó không phải là lỗi, đó là một tính năng
Một số trang web có liên quan đến phương thức tấn công này không thực sự để lỗ hổng nghiêm trọng bay qua radar:chúng được tích hợp trực tiếp vào hệ thống. Một ví dụ là Twitter. Vanilla Twitter là tốt , nếu bạn có một tài khoản. Khi bạn đang quản lý nhiều tài khoản, cho các ngành khác nhau, tiếp cận nhiều đối tượng, bạn cần một ứng dụng như Hootsuite hoặc TweetDeck.
Các ứng dụng này giao tiếp với Twitter bằng quy trình đăng nhập rất giống nhau vì chúng cũng cần quyền truy cập trực tiếp vào mạng xã hội của bạn và người dùng được yêu cầu cung cấp các quyền tương tự. Nó tạo ra một kịch bản khó khăn cho nhiều nhà cung cấp mạng xã hội khi các ứng dụng của bên thứ ba mang lại quá nhiều cho lĩnh vực xã hội, nhưng rõ ràng tạo ra sự bất tiện về bảo mật cho cả người dùng và nhà cung cấp.
Roundup
Chúng tôi đã xác định được các lỗ hổng đăng nhập mạng xã hội ba và một chút mà giờ đây bạn có thể xác định và hy vọng có thể tránh được. Các vụ hack đăng nhập mạng xã hội sẽ không cạn kiệt chỉ sau một đêm. Phần thưởng tiềm năng dành cho tin tặc là quá lớn và khi các công ty công nghệ lớn như Facebook từ chối hành động vì lợi ích tốt nhất của người dùng, thì về cơ bản họ sẽ mở cửa và để họ lau chân trên tấm thảm chùi chân bảo mật dữ liệu.
Tài khoản xã hội của bạn có bị bên thứ ba xâm phạm không? Chuyện gì đã xảy ra thế? Bạn đã phục hồi như thế nào?