الإعلانات
تسجيل الدخول باستخدام الفيسبوك. تسجيل الدخول عبر جوجل. تستفيد مواقع الويب بانتظام من رغبتنا في تسجيل الدخول بكل سهولة لضمان زيارتنا ، ولضمان الحصول على جزء من فطيرة البيانات الشخصية. ولكن بأي ثمن؟ اكتشف باحث أمني مؤخرا ثغرة أمنية في تسجيل الدخول باستخدام الفيسبوك ميزة موجودة في عدة آلاف من المواقع. وبالمثل ، كشف خطأ داخل واجهة اسم نطاق تطبيق Google عن مئات الآلاف من البيانات الخاصة للأفراد للجمهور.
هذه قضايا خطيرة تواجه اثنين من أكبر الأسماء التقنية المنزلية. في حين سيتم التعامل مع هذه القضايا بقلق مناسب وتصحيح نقاط الضعف ، هل يتم إعطاء الوعي الكافي للجمهور؟ دعنا نلقي نظرة على كل حالة ، وماذا يعني لأمان الويب الخاص بك.
الحالة 1: تسجيل الدخول باستخدام Facebook
تعرض ثغرة الدخول باستخدام Facebook حساباتك - ولكن ليس كلمة مرور Facebook الفعلية - وتطبيقات الجهات الخارجية التي قمت بتثبيتها ، مثل Bit.ly ، Mashable ، Vimeo ، About.me، ومجموعة من الآخرين.
الخلل الحرج ، الذي اكتشفه إيجور هوماكوف ، الباحث الأمني في Sakurity ، يسمح للمتسللين بإساءة استخدام الإشراف في كود Facebook. ينبع الخلل من نقص في الملاءمة
تزوير عبر الموقع (CSFR) حماية لثلاث عمليات مختلفة: تسجيل الدخول إلى Facebook ، تسجيل الخروج من Facebook ، واتصال حساب الطرف الثالث. تسمح الثغرة بشكل أساسي لطرف غير مرغوب فيه بتنفيذ إجراءات داخل حساب موثق. يمكنك أن ترى لماذا سيكون هذا مشكلة كبيرة.
ومع ذلك ، اختارت Facebook ، حتى الآن ، أن تفعل القليل جدًا لمعالجة المشكلة لأنها ستعرض توافقها مع عدد كبير من المواقع للخطر. يمكن إصلاح المشكلة الثالثة من قبل أي مالك موقع ويب معني ، ولكن الأولين يقعان حصريًا عند باب Facebook.
ولزيادة توضيح عدم اتخاذ إجراء من قبل Facebook ، دفع Homakov القضية إلى أبعد من ذلك من خلال إطلاق أداة قراصنة تسمى RECONNECT. يستغل هذا الخطأ ، ويسمح للمتسللين بإنشاء وإدراج عناوين URL مخصصة تُستخدم لاختراق الحسابات على مواقع الجهات الخارجية. يمكن استدعاء Homakov غير مسؤول عن تحرير الأداة ما هو الفرق بين هاكر جيد وهكر سيئة؟ [رأي]بين الحين والآخر ، نسمع شيئًا في الأخبار حول قيام المتسللين بإنزال المواقع واستغلالها العديد من البرامج ، أو يهددون بهز طريقهم إلى مناطق عالية الأمان حيث يوجدون لا يجب أن تنتمي. لكن اذا... قراءة المزيد ، لكن اللوم يقع بشكل مباشر على رفض Facebook تصحيح الضعف تم تسليط الضوء عليه قبل أكثر من عام.
في غضون ذلك ، حافظ على اليقظة. لا تنقر على روابط غير موثوق بها من صفحات تبدو غير مرغوب فيها ، أو تقبل طلبات صداقة من أشخاص لا تعرفهم. أصدر Facebook أيضًا بيانًا يقول:
"هذا سلوك مفهوم جيدًا. يمكن لمطوري المواقع الذين يستخدمون تسجيل الدخول منع هذه المشكلة باتباع أفضل ممارساتنا واستخدام معلمة "الحالة" التي نقدمها لتسجيل الدخول OAuth ".
تشجيع.
الحالة 1 أ: من لم يصدقني؟
يقع مستخدمو Facebook الآخرون فريسة "خدمة" أخرى تفترس سرقة بيانات اعتماد تسجيل الدخول OAuth التابعة لجهة خارجية. تم تصميم تسجيل دخول OAuth لمنع المستخدمين من إدخال كلمة المرور الخاصة بهم إلى أي تطبيق أو خدمة تابعة لجهة خارجية ، مع الحفاظ على جدار الأمان.
خدمات مثل عدم التصريح اعتداء على الأفراد الذين يحاولون اكتشاف من تخلوا عن صداقتهم عبر الإنترنت ، مطالبين الأفراد بإدخال بيانات اعتماد تسجيل الدخول الخاصة بهم - ثم إرسالهم مباشرة إلى موقع ضار yougotunfriended.com. يتم تصنيف UnfriendAlert على أنه برنامج محتمل غير مرغوب فيه (PUP) ، ويقوم بتثبيت برامج الإعلانات والبرامج الضارة عن قصد.
لسوء الحظ ، لا يمكن لـ Facebook إيقاف خدمات مثل هذه تمامًا ، لذلك يقع العبء على مستخدمي الخدمة ليظلوا يقظين ولا تقع في الأشياء التي تبدو جيدة لتكون صحيحة.
الحالة 2: Google Apps Bug
تنبع الثغرة الأمنية الثانية من خلل في معالجة تطبيقات Google لعمليات تسجيل اسم النطاق. إذا كنت قد سجلت موقعًا على الويب من قبل ، فستعلم أن توفير اسمك وعنوانك وعنوان بريدك الإلكتروني والمعلومات الخاصة الأخرى المهمة أمر ضروري للعملية. بعد التسجيل ، يمكن لأي شخص لديه الوقت الكافي يدير الذي هو للعثور على هذه المعلومات العامة، ما لم تقدم طلبًا أثناء التسجيل للحفاظ على خصوصية بياناتك الشخصية. عادة ما تأتي هذه الميزة بتكلفة ، وهي اختيارية تمامًا.
يقوم هؤلاء الأفراد بتسجيل المواقع من خلال eNom و طلب Whois خاصًا العثور على بياناتهم تم تسريبها ببطء على مدار 18 شهرًا أو نحو ذلك. تم اكتشاف عيب البرنامج في 19 فبرايرالعاشر وتوصيل البيانات الخاصة بعد ذلك بخمسة أيام ، وتسرب البيانات الخاصة في كل مرة يتم فيها تجديد التسجيل ، مما قد يعرض الأفراد الخاصين لأي عدد من مشكلات حماية البيانات.
الوصول إلى 282000 إصدار سجل مجمع ليس بالأمر السهل. لن تتعثر عبره على الويب. لكنها الآن عيب لا يُمحى في سجل Google ، وهي لا تُمحى بنفس القدر من مساحات واسعة من الإنترنت. وحتى إذا بدأ حتى 5٪ أو 10٪ أو 15٪ من الأفراد في تلقي رسائل بريد إلكتروني تصيدية شديدة التصيد بالرماح الخبيثة ، فإن هذا يجعل البالونات تتسبب في صداع كبير للبيانات لكل من Google و eNom.
الحالة 3: انتحلتني
هذا ال ضعف شبكة متعددة يتأثر كل إصدار من Windows بهذا الضعف - ما يمكنك القيام به حيال ذلك.ماذا ستقول إذا قلنا لك أن إصدار Windows الخاص بك يتأثر بضعف يرجع إلى عام 1997؟ لسوء الحظ ، هذا صحيح. مايكروسوفت ببساطة لم تقم بتصحيحها. دورك! قراءة المزيد مما يسمح للمخترق باستغلال أنظمة تسجيل الدخول من جهة خارجية التي تستفيد منها العديد من المواقع الشائعة. يقدم المخترق طلبًا مع خدمة ضعيفة تم تحديدها باستخدام عنوان البريد الإلكتروني للضحية ، وهو عنوان معروف سابقًا للخدمة الضعيفة. يمكن للمتسلل بعد ذلك انتحال تفاصيل المستخدم بالحساب المزيف ، والحصول على حق الوصول إلى الحساب الاجتماعي كاملاً مع تأكيد البريد الإلكتروني المؤكد.
لكي يعمل هذا الاختراق ، يجب أن يدعم موقع الطرف الثالث تسجيل دخول واحدًا آخر على الشبكة الاجتماعية باستخدام موفر هوية آخر ، أو القدرة على استخدام بيانات اعتماد موقع الويب الشخصي المحلي. يشبه الاختراق على Facebook ، ولكن تمت رؤيته عبر مجموعة واسعة من مواقع الويب ، بما في ذلك Amazon ، LinkedIn و MYDIGIPASS من بين أمور أخرى ، ويمكن استخدامها لتسجيل الدخول إلى خدمات حساسة باستخدام نية خبيثة.
إنها ليست عيبًا ، إنها ميزة
بعض المواقع المتورطة في هذا النمط من الهجوم لم تسمح فعليًا بوجود ثغرة خطيرة تحت الرادار: إنها كذلك مدمجة مباشرة في النظام هل تكوينك الافتراضي لجهاز التوجيه يجعلك عرضة للقرصنة والمخادعين؟نادرًا ما تصل أجهزة التوجيه في حالة آمنة ، ولكن حتى إذا كنت قد أخذت الوقت الكافي لتكوين جهاز التوجيه اللاسلكي (أو السلكي) بشكل صحيح ، فلا يزال من الممكن أن يكون الارتباط الضعيف. قراءة المزيد . أحد الأمثلة على تويتر. فانيلا تويتر حسن، إذا كان لديك حساب واحد. بمجرد إدارة حسابات متعددة ، للصناعات المختلفة ، والاقتراب من مجموعة من الجماهير ، فإنك تحتاج إلى تطبيق مثل Hootsuite أو TweetDeck 6 طرق مجانية لجدولة تغريداتاستخدام تويتر هو حقًا هنا والآن. تجد مقالًا مثيرًا للاهتمام ، أو صورة رائعة ، أو مقطع فيديو رائعًا ، أو ربما تريد فقط مشاركة شيء أدركته أو فكرت فيه للتو. إما... قراءة المزيد .
تتواصل هذه التطبيقات مع Twitter باستخدام إجراء تسجيل دخول مشابه جدًا لأنها تحتاج أيضًا إلى وصول مباشر إلى شبكتك الاجتماعية ، ويُطلب من المستخدمين تقديم نفس الأذونات. إنه يخلق سيناريو صعبًا للعديد من موفري الشبكات الاجتماعية نظرًا لأن تطبيقات الجهات الخارجية تجلب الكثير إلى المجال الاجتماعي ، ولكنها تخلق بوضوح مضايقات أمنية لكل من المستخدم والموفر.
جمع الشمل
لقد حددنا ثغرات تسجيل الدخول الاجتماعية ذات الثلاثة بتات التي يجب أن تكون قادرًا الآن على تحديدها ونأمل تجنبها. لن تجف عمليات اختراق تسجيل الدخول الاجتماعي بين عشية وضحاها. ال عائد محتمل للقراصنة 4 أفضل مجموعات القراصنة وما يريدونمن السهل التفكير في مجموعات القراصنة كنوع من الثوريين الرومانسيين في الغرف الخلفية. ولكن من هم حقا؟ ما الذي يمثلونه وما الهجمات التي شنوها في الماضي؟ قراءة المزيد أمر رائع جدًا ، وعندما ترفض شركات التقنيات الضخمة مثل Facebook التصرف وفقًا للمصالح الفضلى من مستخدميها ، فهي تفتح الباب بشكل أساسي وتسمح لهم بمسح أقدامهم على خصوصية البيانات ممسحة.
هل تم اختراق حسابك الاجتماعي من قبل طرف ثالث؟ ماذا حدث؟ كيف تعافيت؟
حقوق الصورة:كود ثنائي عبر Shutterstock ، هيكل عبر Pixabay
جافين هو كاتب أول في MUO. وهو أيضًا محرر ومدير تحسين محركات البحث لموقع شقيق MakeUseOf الذي يركز على التشفير ، Blocks Decoded. حصل على درجة البكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات الفن الرقمي المنهوبة من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة في الكتابة المهنية. يتمتع بكميات وفيرة من الشاي.