FacebookとGoogleのWebサイトへのログインがデータの盗難につながる可能性

Facebookでログインします。 Googleでログインします。 Webサイトは、私たちが簡単にサインインしたいという私たちの願望を定期的に活用して、確実にアクセスし、個人データのパイの一部を確実に取得できるようにします。しかし、どのくらいの費用がかかりますか？セキュリティ研究者は最近、Facebookでログインに脆弱性を発見しました 何千ものサイトで見つかった機能。同様に、Googleアプリのドメイン名インターフェース内のバグにより、数十万人の個人データが公開されました。

これらは、2つの最大の家庭用技術者が直面している深刻な問題です。これらの問題は適切な不安で扱われ、脆弱性にパッチが適用されますが、一般の人々には十分な認識が与えられていますか？それぞれのケースと、それがWebセキュリティにとって何を意味するのかを見てみましょう。

ケース1：Facebookでログイン

Login with Facebookの脆弱性により、アカウント（実際のFacebookパスワードは公開されません）と、インストールしたサードパーティのアプリケーション（ Bit.ly、Mashable、Vimeo、About.me ）が公開されます。 、および他のホスト。

Sakurityのセキュリティ研究者であるEgorHomakovによって発見された重大な欠陥により、ハッカーはFacebookコードの見落としを悪用することができます。この欠陥は、適切なクロスサイトリクエストフォージェリの欠如に起因します。 （CSFR）3つの異なるプロセスの保護：Facebookログイン、Facebookログアウト、およびサードパーティアカウント接続。この脆弱性により、不要なパーティが認証されたアカウント内でアクションを実行できるようになります。これが重要な問題になる理由がわかります。

それでも、Facebookは、膨大な数のサイトとの互換性を損なう可能性があるため、この問題に対処するためにほとんど何もしないことを選択しました。 3番目の問題は、関係するWebサイトの所有者であれば誰でも修正できますが、最初の2つはFacebookのドアにのみあります。

Facebookによるアクションの欠如をさらに例証するために、Homakovは、RECONNECTという名前のハッカーツールをリリースすることにより、この問題をさらに推し進めました。これはバグを悪用し、ハッカーがサードパーティのサイトでアカウントを乗っ取るために使用されるカスタムURLを作成して挿入できるようにします。 Homakovはツールのリリースに無責任であると言えますが、責任はFacebookが1年以上前に明らかになった脆弱性にパッチを当てることを拒否したことにあります。 。

その間、警戒を怠らないでください。スパムのように見えるページから信頼できないリンクをクリックしたり、知らない人からの友達リクエストを受け入れたりしないでください。 Facebookはまた、次のような声明を発表しました：

「これはよく理解されている動作です。ログインを使用するサイト開発者は、ベストプラクティスに従い、OAuthログインに提供する「state」パラメータを使用することでこの問題を防ぐことができます。」

励まします。

ケース1a：誰が私を友達から外したのですか？

他のFacebookユーザーは、サードパーティのOAuthログインクレデンシャルの盗難を食い物にする別の「サービス」の餌食になっています。 OAuthログインは、ユーザーがサードパーティのアプリケーションやサービスにパスワードを入力するのを防ぎ、セキュリティの壁を維持するように設計されています。

UnfriendAlertなどのサービス オンラインの友情を放棄した人物を見つけようとする個人を捕食し、ログイン資格情報の入力を求め、悪意のあるサイト yougotunfriended.comに直接送信します。 。 UnfriendAlertは、潜在的に望ましくないプログラム（PUP）として分類され、アドウェアとマルウェアを意図的にインストールします。

残念ながら、Facebookはこのようなサービスを完全に停止することはできないため、サービスユーザーは、警戒を怠らず、真実と思われることに陥らないようにする責任があります。

ケース2：Googleアプリのバグ

2番目の脆弱性は、ドメイン名登録のGoogleApps処理の欠陥に起因します。 Webサイトを登録したことがある場合は、名前、住所、電子メールアドレス、およびその他の重要な個人情報の提供がプロセスに不可欠であることをご存知でしょう。登録後、十分な時間がある人は誰でも Whoisを実行できます 登録時に個人データを非公開にするように要求しない限り、この公開情報を見つけるため。この機能は通常、コストがかかり、完全にオプションです。

eNomおよびを介してサイトを登録する個人 プライベートWhoisをリクエストすると、18か月ほどの期間にわたってデータがゆっくりと漏洩していたことがわかりました。 2月19日 に発見されたソフトウェアの欠陥 5日後にプラグが差し込まれ、登録が更新されるたびに個人データが漏洩し、個人がデータ保護の問題にさらされる可能性がありました。

282,000のバルクレコードリリースにアクセスするのは簡単ではありません。あなたはウェブ上でそれに遭遇することはありません。しかし、それは今やグーグルの実績の中で消えない傷であり、インターネットの広大な範囲からも同様に消えることができません。また、個人の5％、10％、または15％でさえ、標的を絞った悪意のあるスピアフィッシングメールを受信し始めた場合、これはGoogleとeNomの両方にとって大きなデータの頭痛の種になります。

ケース3：なりすましの私

これは複数のネットワークの脆弱性であり、ハッカーが非常に多くの人気のあるサイトで利用されているサードパーティのサインインシステムを再び悪用する可能性があります。ハッカーは、被害者のメールアドレス（以前は脆弱なサービスに知られていました）を使用して、特定された脆弱なサービスにリクエストを送信します。その後、ハッカーは偽のアカウントを使用してユーザーの詳細を偽装し、確認済みの電子メール検証を備えたソーシャルアカウントにアクセスできます。

このハッキングが機能するには、サードパーティのサイトが、別のIDプロバイダーを使用した少なくとも1つの他のソーシャルネットワークサインイン、またはローカルの個人Webサイトの資格情報を使用する機能をサポートしている必要があります。これはFacebookのハッキングに似ていますが、Amazon、LinkedIn、MYDIGIPASSなど、さまざまなWebサイトで見られ、悪意を持って機密性の高いサービスにサインインするために使用される可能性があります。

これは欠陥ではなく、機能です

このモードの攻撃に関係しているサイトの中には、実際には重大な脆弱性をレーダーの下に飛ばしていないものがあります。それらはシステムに直接組み込まれています。一例はTwitterです。バニラツイッターは良い 、アカウントが1つある場合。さまざまな業界の複数のアカウントを管理し、さまざまな対象者にアプローチするには、HootsuiteやTweetDeckなどのアプリケーションが必要です。

これらのアプリケーションは、ソーシャルネットワークに直接アクセスする必要があるため、非常によく似たログイン手順を使用してTwitterと通信し、ユーザーは同じ権限を提供するよう求められます。サードパーティのアプリが社会的領域に多大な影響を与えるため、多くのソーシャルネットワークプロバイダーにとって困難なシナリオを生み出しますが、ユーザーとプロバイダーの両方に明らかにセキュリティ上の不便をもたらします。

まとめ

3ビットのソーシャルサインインの脆弱性を特定しました。これで特定でき、うまくいけば回避できるはずです。ソーシャルサインインハックは一夜にして枯渇することはありません。ハッカーの潜在的な見返りは大きすぎます。Facebookなどの大規模なテクノロジー企業がユーザーの最善の利益のために行動することを拒否した場合、基本的にはドアを開けて、データプライバシーの玄関マットに足を踏み入れさせます。

ソーシャルアカウントがサードパーティによって侵害されていませんか？どうしたの？どのように回復しましたか？