เข้าสู่ระบบด้วยเฟสบุ๊ค เข้าสู่ระบบด้วย Google เว็บไซต์มักจะใช้ประโยชน์จากความปรารถนาของเราในการลงชื่อเข้าใช้อย่างง่ายดายเพื่อให้แน่ใจว่าเราเข้าชม และเพื่อให้แน่ใจว่าพวกเขาจะคว้าส่วนแบ่งของข้อมูลส่วนบุคคล แต่ราคาเท่าไหร่? นักวิจัยด้านความปลอดภัยเพิ่งค้นพบช่องโหว่ใน เข้าสู่ระบบด้วย Facebook คุณลักษณะที่พบในหลายพันไซต์ ในทำนองเดียวกัน ข้อบกพร่องภายในอินเทอร์เฟซชื่อโดเมนของ Google App ได้เปิดเผยข้อมูลส่วนตัวหลายแสนรายการต่อสาธารณะ
นี่เป็นปัญหาร้ายแรงที่ต้องเผชิญกับชื่อเทคโนโลยีในครัวเรือนที่ใหญ่ที่สุดสองแห่ง แม้ว่าปัญหาเหล่านี้จะได้รับการจัดการด้วยความไม่สบายใจและจุดอ่อนที่ถูกแก้ไขแล้ว การให้ความรู้แก่สาธารณชนเพียงพอหรือไม่ มาดูกันว่าแต่ละกรณีมีความสำคัญอย่างไรต่อความปลอดภัยของเว็บคุณ
กรณีที่ 1:เข้าสู่ระบบด้วย Facebook
ช่องโหว่ในการเข้าสู่ระบบด้วย Facebook จะเปิดเผยบัญชีของคุณ - แต่ไม่ใช่รหัสผ่าน Facebook จริงของคุณ - และแอปพลิเคชันบุคคลที่สามที่คุณติดตั้งไว้ เช่น Bit.ly, Mashable, Vimeo, About.me และโฮสต์ของผู้อื่น
ข้อบกพร่องที่สำคัญซึ่งค้นพบโดย Egor Homakov นักวิจัยด้านความปลอดภัยของ Sakurity ทำให้แฮกเกอร์สามารถใช้การกำกับดูแลในรหัส Facebook ในทางที่ผิด ข้อบกพร่องเกิดจากการขาด Cross-Site Request Forgery การป้องกัน (CSFR) สำหรับสามกระบวนการที่แตกต่างกัน:การเข้าสู่ระบบ Facebook, การออกจากระบบ Facebook และการเชื่อมต่อบัญชีบุคคลที่สาม ช่องโหว่ดังกล่าวทำให้บุคคลที่ไม่ต้องการดำเนินการภายในบัญชีที่ตรวจสอบสิทธิ์ได้ คุณจะเห็นว่าทำไมเรื่องนี้ถึงเป็นปัญหาสำคัญ
ถึงกระนั้น Facebook ก็ยังเลือกที่จะทำเพียงเล็กน้อยเพื่อแก้ไขปัญหา เนื่องจากจะกระทบต่อความเข้ากันได้กับเว็บไซต์จำนวนมาก ปัญหาที่สามสามารถแก้ไขได้โดยเจ้าของเว็บไซต์ที่เกี่ยวข้อง แต่ปัญหาสองข้อแรกอยู่ที่หน้า Facebook เท่านั้น
เพื่อแสดงตัวอย่างเพิ่มเติมเกี่ยวกับการขาดการดำเนินการของ Facebook Homakov ได้ผลักดันปัญหาต่อไปโดยปล่อยเครื่องมือแฮ็กเกอร์ชื่อ RECONNECT สิ่งนี้ใช้ประโยชน์จากจุดบกพร่อง โดยให้แฮกเกอร์สร้างและแทรก URL ที่กำหนดเองซึ่งใช้ในการจี้บัญชีบนไซต์บุคคลที่สาม อาจเรียกได้ว่า Homakov ไร้ความรับผิดชอบในการปล่อยเครื่องมือนี้ แต่ความผิดนั้นอยู่ที่การปฏิเสธของ Facebook ที่จะแก้ไขช่องโหว่ที่เปิดเผยเมื่อหนึ่งปีที่แล้ว .
ในระหว่างนี้ให้ระแวดระวัง อย่าคลิกลิงก์ที่ไม่น่าเชื่อถือจากหน้าเว็บที่ดูเป็นสแปม หรือยอมรับคำขอเป็นเพื่อนจากคนที่คุณไม่รู้จัก Facebook ยังได้ออกแถลงการณ์ว่า:
"นี่เป็นพฤติกรรมที่เข้าใจกันดี นักพัฒนาเว็บไซต์ที่ใช้การเข้าสู่ระบบสามารถป้องกันปัญหานี้ได้โดยปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของเราและใช้พารามิเตอร์ "สถานะ" ที่เราจัดเตรียมไว้สำหรับการเข้าสู่ระบบ OAuth"
เป็นกำลังใจ
กรณีที่ 1a:ใครเลิกเป็นเพื่อนกับฉัน
ผู้ใช้ Facebook รายอื่นตกเป็นเหยื่อของ "บริการ" อื่นที่ขโมยข้อมูลรับรองการเข้าสู่ระบบ OAuth ของบุคคลที่สาม การเข้าสู่ระบบ OAuth ออกแบบมาเพื่อหยุดผู้ใช้ให้ป้อนรหัสผ่านในแอปพลิเคชันหรือบริการของบุคคลที่สาม เพื่อรักษาระดับความปลอดภัย
บริการต่างๆ เช่น UnfriendAlert ตกเป็นเหยื่อของบุคคลที่พยายามค้นหาว่าใครละทิ้งความเป็นเพื่อนในโลกออนไลน์ โดยขอให้บุคคลป้อนข้อมูลรับรองการเข้าสู่ระบบ จากนั้นส่งตรงไปยังไซต์ที่เป็นอันตราย yougotunfriended.com . UnfriendAlert จัดอยู่ในประเภทโปรแกรมที่อาจไม่ต้องการ (PUP) โดยตั้งใจติดตั้งแอดแวร์และมัลแวร์
น่าเสียดายที่ Facebook ไม่สามารถหยุดบริการเช่นนี้ได้ทั้งหมด ดังนั้นผู้ใช้บริการจึงต้องระมัดระวังตัว และอย่าหลงเชื่อในสิ่งที่ดูเหมือนจะดีเป็นความจริง
กรณีที่ 2:ข้อบกพร่องของ Google Apps
ช่องโหว่ที่สองของเราเกิดจากข้อบกพร่องในการจัดการ Google Apps ของการจดทะเบียนชื่อโดเมน หากคุณเคยลงทะเบียนเว็บไซต์ คุณจะทราบได้ว่าการให้ชื่อ ที่อยู่ ที่อยู่อีเมล และข้อมูลส่วนตัวที่สำคัญอื่นๆ ของคุณมีความสำคัญต่อกระบวนการนี้ หลังจากการลงทะเบียน ใครก็ตามที่มีเวลาเพียงพอสามารถเรียกใช้ Whois เพื่อค้นหาข้อมูลสาธารณะนี้ เว้นแต่คุณจะร้องขอระหว่างการลงทะเบียนเพื่อให้ข้อมูลส่วนตัวของคุณเป็นส่วนตัว ฟีเจอร์นี้มักมีค่าใช้จ่ายและเป็นตัวเลือกที่ไม่บังคับ
บุคคลที่ลงทะเบียนไซต์ผ่าน eNom และ การขอ Whois ส่วนตัวพบว่าข้อมูลของพวกเขาค่อยๆ รั่วไหลในระยะเวลา 18 เดือนหรือมากกว่านั้น ซอฟต์แวร์มีข้อบกพร่อง พบเมื่อวันที่ 19 กุมภาพันธ์ th และเสียบปลั๊กอีกห้าวันต่อมา ข้อมูลส่วนตัวรั่วไหลทุกครั้งที่ต่ออายุการลงทะเบียน อาจทำให้บุคคลส่วนตัวประสบปัญหาในการปกป้องข้อมูลจำนวนเท่าใดก็ได้
การเข้าถึงการเปิดตัวบันทึกจำนวนมาก 282,000 รายการไม่ใช่เรื่องง่าย คุณจะไม่สะดุดข้ามมันบนเว็บ แต่ปัจจุบันได้กลายเป็นจุดบกพร่องที่ลบล้างไม่ได้ในประวัติของ Google และไม่สามารถลบออกได้เท่าๆ กันจากอินเทอร์เน็ตที่กว้างใหญ่ไพศาล และหากแม้แต่ 5%, 10% หรือ 15% ของบุคคลเริ่มได้รับอีเมลฟิชชิ่งสเปียร์ที่เป็นอันตรายและกำหนดเป้าหมายสูง ปัญหานี้จะทำให้บอลลูนกลายเป็นข้อมูลสำคัญสำหรับทั้ง Google และ eNom
กรณีที่ 3:หลอกฉัน
นี่เป็นช่องโหว่ของเครือข่ายหลายจุดทำให้แฮ็กเกอร์สามารถใช้ประโยชน์จากระบบลงชื่อเข้าใช้ของบุคคลที่สามที่ใช้ประโยชน์จากเว็บไซต์ยอดนิยมจำนวนมากได้อีกครั้ง แฮ็กเกอร์ส่งคำขอพร้อมกับบริการที่มีช่องโหว่ซึ่งระบุตัวตนได้โดยใช้ที่อยู่อีเมลของเหยื่อ ซึ่งก่อนหน้านี้รู้จักกับบริการที่มีช่องโหว่ แฮ็กเกอร์สามารถปลอมแปลงรายละเอียดของผู้ใช้ด้วยบัญชีปลอม เข้าถึงบัญชีโซเชียลพร้อมการยืนยันอีเมลที่ยืนยันแล้ว
เพื่อให้การแฮ็กนี้ทำงานได้ ไซต์ของบุคคลที่สามต้องสนับสนุนการลงชื่อเข้าใช้เครือข่ายโซเชียลอื่นอย่างน้อยหนึ่งรายการโดยใช้ผู้ให้บริการข้อมูลประจำตัวรายอื่น หรือสามารถใช้ข้อมูลประจำตัวของเว็บไซต์ส่วนตัวในพื้นที่ได้ คล้ายกับการแฮ็กของ Facebook แต่พบเห็นได้จากเว็บไซต์ที่หลากหลาย รวมถึง Amazon, LinkedIn และ MYDIGIPASS และอาจใช้เพื่อลงชื่อเข้าใช้บริการที่มีความละเอียดอ่อนโดยมีเจตนาร้าย
ไม่ใช่ข้อบกพร่อง แต่เป็นคุณลักษณะ
ไซต์บางแห่งที่เกี่ยวข้องกับโหมดการโจมตีนี้ไม่ได้ปล่อยให้ช่องโหว่ที่สำคัญอยู่ภายใต้เรดาร์:ไซต์เหล่านี้สร้างขึ้นในระบบโดยตรง ตัวอย่างหนึ่งคือ Twitter วานิลลา Twitter ดี ถ้าคุณมีบัญชีเดียว เมื่อคุณจัดการหลายบัญชี สำหรับอุตสาหกรรมต่างๆ และเข้าถึงกลุ่มเป้าหมายได้หลากหลาย คุณต้องมีแอปพลิเคชัน เช่น Hootsuite หรือ TweetDeck
แอปพลิเคชันเหล่านี้สื่อสารกับ Twitter โดยใช้ขั้นตอนการเข้าสู่ระบบที่คล้ายกันมาก เนื่องจากพวกเขาต้องการการเข้าถึงเครือข่ายสังคมออนไลน์ของคุณโดยตรง และผู้ใช้จะต้องให้การอนุญาตแบบเดียวกัน มันสร้างสถานการณ์ที่ยากลำบากสำหรับผู้ให้บริการเครือข่ายโซเชียลจำนวนมาก เนื่องจากแอปของบุคคลที่สามนำอะไรมากมายมาสู่สังคมออนไลน์ แต่ยังสร้างความไม่สะดวกด้านความปลอดภัยให้กับทั้งผู้ใช้และผู้ให้บริการอย่างชัดเจน
บทสรุป
เราได้ระบุช่องโหว่ในการลงชื่อเข้าใช้โซเชียล 3 บิต ที่ตอนนี้คุณควรสามารถระบุและหวังว่าจะหลีกเลี่ยงได้ การแฮ็กการลงชื่อเข้าใช้โซเชียลจะไม่ทำให้แห้งในชั่วข้ามคืน ผลตอบแทนที่อาจเกิดขึ้นสำหรับแฮ็กเกอร์มีมากเกินไป และเมื่อบริษัทเทคโนโลยีขนาดใหญ่ เช่น Facebook ปฏิเสธที่จะดำเนินการเพื่อผลประโยชน์สูงสุดของผู้ใช้ โดยทั่วไปแล้วจะเปิดประตูและปล่อยให้พวกเขาเช็ดเท้าบนพรมเช็ดเท้าความเป็นส่วนตัวของข้อมูล
บัญชีโซเชียลของคุณถูกบุกรุกโดยบุคคลที่สามหรือไม่? เกิดอะไรขึ้น คุณฟื้นตัวได้อย่างไร
