विज्ञापन

फेसबुक में जाये। Google के साथ लॉगिन करें। वेबसाइटें नियमित रूप से हमारी यात्रा को सुनिश्चित करने के लिए साइन इन करने की हमारी इच्छा का लाभ उठाती हैं, और यह सुनिश्चित करने के लिए कि वे व्यक्तिगत डेटा पाई का एक टुकड़ा हड़प लें। लेकिन किस कीमत पर? एक सुरक्षा शोधकर्ता ने हाल ही में एक भेद्यता की खोज की फेसबुक में जाये कई हजारों साइटों पर सुविधा पाई गई। इसी तरह, Google ऐप डोमेन नाम इंटरफेस के भीतर एक बग ने हजारों लोगों के निजी डेटा को सार्वजनिक रूप से उजागर किया।

ये गंभीर मुद्दे हैं जो दो सबसे बड़े घरेलू तकनीक-नामों का सामना कर रहे हैं। जब भी इन मुद्दों को उचित अनसुना किया जाएगा और कमजोरियों को दूर किया जाएगा, क्या जनता को पर्याप्त जागरूकता दी गई है? आइए प्रत्येक मामले को देखें, और यह आपकी वेब सुरक्षा के लिए क्या मायने रखता है।

केस 1: फेसबुक के साथ लॉगिन करें

फेसबुक भेद्यता के साथ लॉगिन आपके खातों को उजागर करता है - लेकिन आपका वास्तविक फेसबुक पासवर्ड नहीं - और आपके द्वारा इंस्टॉल किए गए तीसरे पक्ष के एप्लिकेशन, जैसे Bit.ly, Mashable, Vimeo, About.me, और दूसरों की मेजबानी।

सकोरिटी के सुरक्षा शोधकर्ता ईगोर होमकोव द्वारा खोजे गए महत्वपूर्ण दोष, हैकर्स को फेसबुक कोड में ओवरसाइट का दुरुपयोग करने की अनुमति देता है। दोष उचित की कमी से उपजा है

क्रॉस साइट अनुरोध जालसाजी (CSFR) तीन अलग-अलग प्रक्रियाओं के लिए सुरक्षा: फेसबुक लॉग इन, फेसबुक लॉगआउट, और तृतीय-पक्ष खाता कनेक्शन। भेद्यता अनिवार्य रूप से एक अवांछित पार्टी को एक प्रमाणित खाते के भीतर कार्रवाई करने की अनुमति देती है। आप देख सकते हैं कि यह एक महत्वपूर्ण मुद्दा क्यों होगा।

muo-सुरक्षा-smb-पासवर्ड चोरी

फिर भी फेसबुक के पास अभी तक इस मुद्दे को संबोधित करने के लिए बहुत कम करने के लिए चुना गया है क्योंकि यह बड़ी संख्या में साइटों के साथ अपनी अनुकूलता से समझौता करेगा। तीसरा मुद्दा किसी भी संबंधित वेबसाइट के मालिक द्वारा तय किया जा सकता है, लेकिन पहले दो विशेष रूप से फेसबुक के दरवाजे पर झूठ बोलते हैं।

फेसबुक द्वारा की गई कार्रवाई की कमी को और अधिक समझने के लिए, होमकोव ने RECNNECT नामक हैकर्स टूल को जारी करके इस मुद्दे को और आगे बढ़ा दिया है। यह बग का शोषण करता है, जिससे हैकर्स तृतीय-पक्ष साइटों पर खातों को अपहृत करने के लिए उपयोग किए जाने वाले कस्टम URL बना और डाल सकते हैं। होमकोव को बुलाया जा सकता था उपकरण जारी करने के लिए गैर जिम्मेदाराना एक अच्छे हैकर और एक बुरे हैकर के बीच अंतर क्या है? [राय]हर अब, हम समाचारों में साइटों को नीचे ले जाने, शोषण करने के बारे में कुछ सुनते हैं कार्यक्रमों की भीड़, या उच्च सुरक्षा वाले क्षेत्रों में अपना रास्ता चमकाने की धमकी देना जहां वे नहीं होना चाहिए। लेकिन अगर... अधिक पढ़ें , लेकिन दोष भेद्यता को पैच करने के लिए फेसबुक के इनकार के साथ दोषपूर्ण रूप से निहित है एक साल पहले प्रकाश में लाया गया.

फेसबुक के लिए लॉगिन करें

इस बीच, सतर्क रहें। स्पैम-लुकिंग पृष्ठों से अविश्वसनीय लिंक पर क्लिक न करें, या उन लोगों से मित्र अनुरोध स्वीकार करें जिन्हें आप नहीं जानते हैं। फेसबुक ने भी एक बयान जारी कर कहा है:

“यह एक अच्छी तरह से समझा व्यवहार है। लॉगिन का उपयोग करने वाले साइट डेवलपर हमारी सर्वोत्तम प्रथाओं का पालन करके और OAuth लॉगिन के लिए हमारे द्वारा प्रदान किए गए 'राज्य' पैरामीटर का उपयोग करके इस समस्या को रोक सकते हैं। "

उत्साहजनक।

केस 1 ए: हू अनफ्रेंडेड मी?

अन्य फेसबुक उपयोगकर्ता तृतीय-पक्ष OAuth लॉगिन क्रेडेंशियल चोरी पर एक और "सेवा" के लिए शिकार हो रहे हैं। OAuth लॉगिन उपयोगकर्ताओं को सुरक्षा की दीवार को बनाए रखते हुए किसी भी तृतीय-पक्ष एप्लिकेशन या सेवा में अपना पासवर्ड दर्ज करने से रोकने के लिए डिज़ाइन किया गया है।

मैत्री सूचित करें

जैसी सेवाएं UnfriendAlert उन व्यक्तियों पर शिकार करें जो यह पता लगाने का प्रयास करते हैं कि किसने अपनी ऑनलाइन मित्रता को त्याग दिया है, व्यक्तियों को अपनी लॉगिन क्रेडेंशियल दर्ज करने के लिए कह रहा है - फिर उन्हें सीधे दुर्भावनापूर्ण साइट पर भेज रहा है yougotunfriended.com. UnfriendAlert को संभावित रूप से अनवांटेड प्रोग्राम (PUP) के रूप में वर्गीकृत किया गया है, जानबूझकर एडवेयर और मैलवेयर इंस्टॉल कर रहा है।

दुर्भाग्य से, फेसबुक इस तरह से सेवाओं को पूरी तरह से रोक नहीं सकता है, इसलिए सेवा उपयोगकर्ताओं को सतर्क रहने के लिए ओनस है और उन चीज़ों के लिए न पड़ें, जिन्हें सच होना अच्छा लगता है।

केस 2: Google Apps बग

हमारी दूसरी भेद्यता डोमेन नाम पंजीकरण के Google Apps हैंडलिंग में दोष से उपजी है। यदि आपने कभी कोई वेबसाइट पंजीकृत की है, तो आपको अपने नाम, पते, ईमेल पते और अन्य महत्वपूर्ण निजी जानकारी का प्रावधान करना होगा। पंजीकरण के बाद, पर्याप्त समय के साथ कोई भी कर सकता है भागो एक कौन है इस सार्वजनिक जानकारी को खोजने के लिए, जब तक कि आप अपने व्यक्तिगत डेटा को निजी रखने के लिए पंजीकरण के दौरान अनुरोध न रखें। यह सुविधा आमतौर पर एक लागत पर आती है, और पूरी तरह से वैकल्पिक है।

Google के साथ साइन इन करें

वे व्यक्ति eNom के माध्यम से साइटों को पंजीकृत कर रहे हैं तथा एक निजी Whois का अनुरोध करने पर पाया गया कि उनका डेटा धीरे-धीरे 18 महीने या उससे अधिक की अवधि में लीक हो गया था। सॉफ्टवेयर दोष, 19 फरवरी को खोजा गयावें और पांच दिनों के बाद प्लग किया गया, हर बार पंजीकरण के बाद नए डेटा को लीक कर दिया गया, संभवतः निजी व्यक्तियों को किसी भी संख्या में डेटा सुरक्षा के मुद्दों को उजागर करना।

Whois खोज

282,000 बल्क रिकॉर्ड रिलीज़ तक पहुँचना आसान नहीं है। आपने इसे वेब पर ठोकर नहीं खाया है। लेकिन अब यह Google के ट्रैक रिकॉर्ड पर अमिट धब्बा है, और इंटरनेट के विशाल स्वैथ से समान रूप से अमिट है। और यहां तक ​​कि अगर 5%, 10%, या 15% व्यक्तियों को अत्यधिक लक्षित, दुर्भावनापूर्ण भाला फ़िशिंग ईमेल प्राप्त होने लगते हैं, तो यह Google और eNom दोनों के लिए एक प्रमुख डेटा सिरदर्द में गुब्बारे जारी करता है।

केस 3: मुझे अलग कर दिया

यह है एक कई नेटवर्क भेद्यता विंडोज का हर संस्करण इस भेद्यता से प्रभावित है - आप इसके बारे में क्या कर सकते हैं।अगर हम आपको बताएंगे कि आपका विंडोज का वर्जन एक भेद्यता से प्रभावित होता है जो 1997 में वापस आता है? दुर्भाग्य से, यह सच है। Microsoft ने इसे कभी पैच नहीं किया। तुम्हारी बारी! अधिक पढ़ें एक हैकर को फिर से कई लोकप्रिय साइटों द्वारा ली गई प्रणालियों में तीसरे पक्ष के चिन्ह का शोषण करने की अनुमति देना। हैकर पीड़ित के ईमेल पते का उपयोग करके एक पहचानी गई असुरक्षित सेवा के साथ एक अनुरोध रखता है, जो पहले से असुरक्षित सेवा के लिए जाना जाता है। तब हैकर नकली खाते के साथ उपयोगकर्ता के विवरण को खराब कर सकता है, पुष्टि किए गए ईमेल सत्यापन के साथ सामाजिक खाते तक पहुंच प्राप्त कर सकता है।

शुद्ध सुरक्षा

इस हैक को काम करने के लिए, तीसरे पक्ष की साइट को किसी अन्य पहचान प्रदाता का उपयोग करने के लिए कम से कम एक अन्य सामाजिक नेटवर्क साइन-इन या स्थानीय व्यक्तिगत वेबसाइट क्रेडेंशियल्स का उपयोग करने की क्षमता का समर्थन करना चाहिए। यह फेसबुक हैक के समान है, लेकिन अमेज़ॅन सहित वेबसाइटों की एक व्यापक श्रेणी में देखा गया है, लिंक्डइन, और दूसरों के बीच MYDIGIPASS, और संभवतः के साथ संवेदनशील सेवाओं में हस्ताक्षर करने के लिए इस्तेमाल किया जा सकता है दुर्भावनापूर्ण इरादे।

यह एक दोष नहीं है, यह एक विशेषता है

हमले के इस तरीके में फंसे कुछ स्थल वास्तव में एक महत्वपूर्ण भेद्यता को रडार के नीचे उड़ने नहीं देते हैं: वे हैं सीधे सिस्टम में बनाया गया क्या आपका डिफ़ॉल्ट राउटर कॉन्फ़िगरेशन आपको हैकर्स और स्कैमर के प्रति कमजोर बनाता है?राउटर शायद ही कभी एक सुरक्षित स्थिति में आते हैं, लेकिन भले ही आपने अपने वायरलेस (या वायर्ड) राउटर को सही ढंग से कॉन्फ़िगर करने के लिए समय लिया हो, फिर भी यह कमजोर कड़ी साबित हो सकता है। अधिक पढ़ें . एक उदाहरण ट्विटर है। वैनिला ट्विटर है अच्छा, अगर आपके पास एक खाता है। एक बार जब आप विभिन्न उद्योगों के लिए, ऑडियंस की एक सीमा के पास, कई खातों का प्रबंधन कर रहे होते हैं, तो आपको एक आवेदन की आवश्यकता होती है Hootsuite, या TweetDeck की तरह ट्वीट करने के लिए 6 नि: शुल्क तरीकेट्विटर का उपयोग करना वास्तव में यहाँ और अभी के बारे में है। आपको एक दिलचस्प लेख, एक शांत तस्वीर, एक भयानक वीडियो, या शायद आप बस कुछ साझा करना चाहते हैं जिसे आपने महसूस किया है या सोचा है। या तो ... अधिक पढ़ें .

संरचना

ये एप्लिकेशन बहुत ही समान लॉगिन प्रक्रिया का उपयोग करके ट्विटर के साथ संवाद करते हैं क्योंकि उन्हें भी आपके सामाजिक नेटवर्क तक सीधी पहुंच की आवश्यकता होती है, और उपयोगकर्ताओं को समान अनुमति प्रदान करने के लिए कहा जाता है। यह कई सामाजिक नेटवर्क प्रदाताओं के लिए एक कठिन परिदृश्य बनाता है क्योंकि तीसरे पक्ष के ऐप सामाजिक क्षेत्र में बहुत अधिक लाते हैं, फिर भी उपयोगकर्ता और प्रदाता दोनों के लिए स्पष्ट रूप से सुरक्षा असुविधाएँ पैदा करते हैं।

बढ़ाना

हमने तीन-सा सोशल साइन-इन कमजोरियों की पहचान की है जिन्हें अब आपको पहचानने में सक्षम होना चाहिए और उम्मीद से बचना चाहिए। सामाजिक साइन-इन हैक रात भर सूखने वाले नहीं हैं। हैकर्स के लिए संभावित अदायगी 4 शीर्ष हैकर समूह और वे क्या चाहते हैंहैकर समूहों को किसी प्रकार के रोमांटिक बैक-रूम क्रांतिकारियों के रूप में सोचना आसान है। लेकिन वे वास्तव में कौन हैं? वे किस चीज के लिए खड़े हैं, और उन्होंने अतीत में कौन से हमले किए हैं? अधिक पढ़ें बहुत बढ़िया है, और जब बड़े पैमाने पर प्रौद्योगिकियां जैसे फेसबुक सबसे अच्छे हितों में कार्य करने से इनकार करती हैं अपने उपयोगकर्ताओं के लिए, यह मूल रूप से दरवाजा खोल रहा है और उन्हें डेटा गोपनीयता पर अपने पैर पोंछने दे रहा है doormat।

क्या आपके सामाजिक खाते का तीसरे पक्ष द्वारा समझौता किया गया है? क्या हुआ? आप कैसे ठीक हुए?

छवि क्रेडिट:बाइनरी कोड वाया शटरस्टॉक, पिक्साबे के माध्यम से संरचना

गैविन MUO के लिए एक वरिष्ठ लेखक हैं। वह MakeUseOf की क्रिप्टो-केंद्रित बहन साइट, ब्लॉक डिकोड्ड के संपादक और एसईओ प्रबंधक भी हैं। उनके पास डेवन की पहाड़ियों से ली गई डिजिटल आर्ट प्रैक्टिस के साथ-साथ एक बीए (ऑनर्स) समकालीन लेखन है, साथ ही साथ पेशेवर लेखन के एक दशक से अधिक का अनुभव है। वह चाय का प्रचुर मात्रा में आनंद लेते हैं।