Cómo los inicios de sesión en sitios web de Facebook y Google pueden llevar al robo de datos

Iniciar sesión con Facebook. Inicia sesión con Google. Los sitios web regularmente aprovechan nuestro deseo de iniciar sesión con facilidad para asegurarnos de que visitamos y para asegurarnos de que obtengan una porción del pastel de datos personales. ¿Pero a qué precio? Un investigador de seguridad descubrió recientemente una vulnerabilidad en el Iniciar sesión con Facebook característica que se encuentra en muchos miles de sitios. De manera similar, un error dentro de la interfaz de nombre de dominio de la aplicación Google expuso al público a cientos de miles de personas con datos privados.

Estos son problemas serios que enfrentan dos de los nombres más grandes de tecnología doméstica. Si bien estos problemas se tratarán con el malestar adecuado y las vulnerabilidades parchadas, ¿se concede suficiente información al público? Veamos cada caso y lo que significa para su seguridad web..

Caso 1: Iniciar sesión con Facebook

La vulnerabilidad de inicio de sesión con Facebook expone sus cuentas, pero no su contraseña real de Facebook, y las aplicaciones de terceros que ha instalado, como Bit.ly, Mashable, Vimeo, About.me, y anfitrión de otros.

El defecto crítico, descubierto por Egor Homakov, investigador de seguridad de Sakurity, permite a los hackers abusar de un descuido en el código de Facebook. El defecto se deriva de una falta de adecuada Solicitud de falsificación entre sitios Protección (CSFR) para tres procesos diferentes: inicio de sesión de Facebook, cierre de sesión de Facebook y conexión de cuenta de terceros. La vulnerabilidad esencialmente permite que una parte no deseada realice acciones dentro de una cuenta autenticada. Puedes ver por qué esto sería un problema importante..

Sin embargo, hasta el momento, Facebook ha optado por hacer muy poco para abordar el problema, ya que comprometería su propia compatibilidad con una gran cantidad de sitios. El tercer problema lo puede solucionar cualquier propietario de un sitio web en cuestión, pero los dos primeros se encuentran exclusivamente en la puerta de Facebook..

Para ejemplificar aún más la falta de acción realizada por Facebook, Homakov ha impulsado el problema aún más al lanzar una herramienta para piratas informáticos llamada RECONECTAR. Esto explota el error, permitiendo a los hackers crear e insertar direcciones URL personalizadas utilizadas para secuestrar cuentas en sitios de terceros. Homakov podría ser considerado irresponsable por lanzar la herramienta ¿Cuál es la diferencia entre un buen hacker y un mal hacker? [Opinión] ¿Cuál es la diferencia entre un buen hacker y un mal hacker? [Opinión] De vez en cuando, escuchamos noticias en las noticias sobre cómo los piratas informáticos destruyen sitios, explotan una multitud de programas o amenazan con abrirse camino hacia áreas de alta seguridad donde no deberían pertenecer. Pero, si ... Leer más, pero la culpa está directamente en la negativa de Facebook a solucionar la vulnerabilidad sacado a la luz hace más de un año.

Mientras tanto, mantente vigilante. No haga clic en enlaces que no sean de confianza de las páginas de spam, ni acepte solicitudes de amistad de personas que no conoce. Facebook también ha publicado una declaración diciendo:

“Este es un comportamiento bien entendido. Los desarrolladores de sitios que utilizan el inicio de sesión pueden evitar este problema siguiendo nuestras mejores prácticas y utilizando el parámetro 'estado' que proporcionamos para el inicio de sesión de OAuth.”

Alentador.

Caso 1a: ¿Quién no me hizo amigo??

Otros usuarios de Facebook están cayendo presa de otro. “Servicio” el robo de credenciales de inicio de sesión OAuth de terceros. El inicio de sesión de OAuth está diseñado para evitar que los usuarios ingresen su contraseña a cualquier aplicación o servicio de terceros, manteniendo el muro de seguridad.

Servicios tales como UnfriendAlert se aprovechan de las personas que intentan descubrir quién ha abandonado su amistad en línea, les pide que ingresen sus credenciales de inicio de sesión y luego las envían directamente al sitio malicioso yougotunfriended.com. UnfriendAlert está clasificado como un programa potencialmente no deseado (PUP) que instala intencionalmente programas publicitarios y programas maliciosos..

Desafortunadamente, Facebook no puede detener por completo servicios como este, por lo que la responsabilidad recae en los usuarios de los servicios para mantenerse vigilantes Y no caer en las cosas que parecen buenas para ser verdad..

Caso 2: Google Apps Bug

Nuestra segunda vulnerabilidad proviene de una falla en el manejo de Google Apps de los registros de nombres de dominio. Si alguna vez ha registrado un sitio web, sabrá que la provisión de su nombre, dirección, dirección de correo electrónico y otra información privada importante es esencial para el proceso. Tras el registro, cualquier persona con tiempo suficiente puede ejecutar un Quien es para encontrar esta información pública, a menos que realice una solicitud durante el registro para mantener la privacidad de sus datos personales. Esta característica generalmente tiene un costo, y es completamente opcional..

Aquellos individuos que registran sitios a través de eNom. y la solicitud de un Whois privado encontró que sus datos se habían filtrado lentamente durante un período de 18 meses aproximadamente. El defecto del software, descubierto el 19 de febrero.^th y se conectó cinco días después, se filtraron datos privados cada vez que se renovó un registro, lo que potencialmente expone a individuos privados a cualquier número de problemas de protección de datos.

Acceder a los 282,000 lanzamientos masivos no es fácil. No te tropezarás en la web. Pero ahora es un defecto indeleble en el historial de Google, y es igualmente indeleble desde las vastas extensiones de Internet. Y si incluso el 5%, el 10% o el 15% de las personas comienzan a recibir correos electrónicos de phishing malintencionados muy específicos y malintencionados, esto hace que los globos se conviertan en un dolor de cabeza importante para Google y eNom..

Caso 3: Me engañó

Esta es una vulnerabilidad de red múltiple Cada versión de Windows se ve afectada por esta vulnerabilidad: lo que puede hacer al respecto. Todas las versiones de Windows se ven afectadas por esta vulnerabilidad: qué puede hacer al respecto. ¿Qué diría si le dijéramos que su vulnerabilidad de Windows se ve afectada por una vulnerabilidad que se remonta a 1997? Desafortunadamente, esto es cierto. Microsoft simplemente nunca lo parchó. ¡Tu turno! Leer más permite a un pirata informático explotar de nuevo los sistemas de inicio de sesión de terceros que aprovechan tantos sitios populares. El pirata informático realiza una solicitud con un servicio vulnerable identificado que utiliza la dirección de correo electrónico de la víctima, una que el servicio vulnerable conoce previamente. El pirata informático puede luego falsificar los detalles del usuario con la cuenta falsa, obteniendo acceso a la cuenta social completa con la confirmación confirmada por correo electrónico..

Para que este truco funcione, el sitio de terceros debe admitir al menos otro inicio de sesión en la red social utilizando otro proveedor de identidad, o la capacidad de usar las credenciales del sitio web personal local. Es similar al hackeo de Facebook, pero se ha visto en una amplia gama de sitios web, incluidos Amazon, LinkedIn y MYDIGIPASS entre otros, y podría usarse para iniciar sesión en servicios confidenciales con intenciones maliciosas..

No es un defecto, es una característica

Algunos de los sitios implicados en este modo de ataque no han dejado una vulnerabilidad crítica en el radar: están integrados directamente en el sistema. ¿Su configuración de enrutador predeterminada lo hace vulnerable a los hackers y estafadores? ¿La configuración predeterminada de tu enrutador te hace vulnerable a los hackers y estafadores? Los enrutadores rara vez llegan en un estado seguro, pero incluso si se ha tomado el tiempo de configurar correctamente su enrutador inalámbrico (o cableado), puede ser el enlace débil. Lee mas . Un ejemplo es Twitter. Twitter de vainilla es bueno, si tienes una cuenta Una vez que esté administrando múltiples cuentas, para diferentes industrias, acercándose a un rango de audiencias, necesita una aplicación como Hootsuite, o TweetDeck. 6 formas gratuitas de programar tweets. 6 formas gratuitas de programar tweets. Usar Twitter es realmente el aquí y el ahora. Encuentras un artículo interesante, una imagen genial, un video increíble, o tal vez solo quieras compartir algo que hayas comprendido o pensado. Cualquiera… Leer más .

Estas aplicaciones se comunican con Twitter mediante un procedimiento de inicio de sesión muy similar, ya que también necesitan acceso directo a su red social, y se solicita a los usuarios que proporcionen los mismos permisos. Crea un escenario difícil para muchos proveedores de redes sociales, ya que las aplicaciones de terceros aportan mucho a la esfera social, pero crean claramente inconvenientes de seguridad tanto para el usuario como para el proveedor..

Redondeo

Hemos identificado vulnerabilidades de inicio de sesión social de tres y un bits que ahora debería poder identificar y, con suerte, evitar. Los hacks de registro social no se secarán de la noche a la mañana. La posible recompensa para los hackers Los 4 mejores grupos de hackers y lo que quieren Los 4 mejores grupos de hackers y lo que quieren Es fácil pensar que los grupos de hackers son una especie de revolucionarios románticos. ¿Pero quiénes son ellos realmente? ¿Qué representan y qué ataques han realizado en el pasado? Leer más es demasiado bueno, y cuando las compañías de tecnologías masivas como Facebook se niegan a actuar en el mejor interés de sus usuarios, básicamente está abriendo la puerta y permitiéndoles limpiar sus pies en el tapete de privacidad de datos..

¿Su cuenta social ha sido comprometida por un tercero? ¿Que pasó? Como te recuperaste?

Crédito de la imagen: código binario a través de Shutterstock, estructura a través de Pixabay

Explore más acerca de: Facebook, privacidad en línea, seguridad en línea.