Блуза Майка | Платье Сарафан | Уникальная выкройка и схема трансформеров / Мастеркласс от Владанны
Sisällysluettelo:
Facebook on korjannut vakavan haavoittuvuuden, joka olisi voinut sallia hyökkääjien helposti päästä käsiksi yksityisiin käyttäjätileihin ja hallita tilejä tuomitsemalla käyttäjät avautumaan
Nir Goldshlager, tutkija, joka väittää löytäneensä virheen ja ilmoittanut sen Facebookille, lähetti yksityiskohtaisen kuvauksen ja videoesittelyn siitä, miten hyökkäys toimi blogisssa.
Haavoittuvuus olisi mahdollistanut potentiaalisen hyökkääjän varastaa herkkiä OAuth-tunnisteita. Facebook käyttää OAuth-protokollaa, jotta kolmansien osapuolten sovellukset pääsevät käyttäjätileille, kun käyttäjät hyväksyvät ne.
[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]Goldshlager löysi haavoittuvuuden Facebookin verkkosivustoilla mobiililaitteille ja kosketusnäytöille, jotka aiheutuivat vääristä URL-reittien puhdistaminen. Tämän ansiosta hänellä oli URL-osoitteita, joita olisi voitu käyttää varkaussignaalin varastamiseen missä tahansa sovelluksessa, jonka käyttäjä oli asettanut profiiliinsä.
Vaikka useimmat Facebookissa olevat sovellukset ovat kolmannen osapuolen sovelluksia, jotka käyttäjien on hyväksyttävä manuaalisesti muutamia sisäänrakennettuja sovelluksia, jotka on ennalta hyväksytty. Yksi tällainen sovellus on Facebook Messenger; sen käyttöoikeusmerkki ei vanhene, ellei käyttäjä muuta salasanaaan ja sillä on laajat käyttöoikeudet tilin tilille.
Facebook Messenger voi lukea, lähettää, lähettää ja hallita viestejä, ilmoituksia, valokuvia, sähköposteja, videoita ja paljon muuta. URL-manipulointi -haavoittuvuus, joka löytyy osoitteista m.facebook.com ja touch.facebook.com, olisi voitu hyödyntää varastamaan käyttäjän pääsyn tunnuksen Facebook Messengerille, mikä olisi antanut hyökkääjälle täyden pääsyn tiliin, Goldshlager sanoi.
Fingered by bug-hunter
Hyökkäys-URL-osoitetta olisi voitu lyhentää yhdellä monista URL-lyhenteitä tarjoavista palveluista ja lähettää käyttäjille kopioitavaksi linkiksi johonkin muuhun. Hyökkäys olisi toiminut myös tileillä, joilla Facebookin kaksitasoinen todentaminen oli mahdollista, Goldshlager sanoi.
Hyökkäyslukijan ja Facebook-käyttäjätunnuksen avulla hyökkääjä voi poistaa tietoja käyttäjätililtä käyttämällä Graph API Explorer -ohjelmaa työkalu kehittäjille saatavilla Facebookin sivustolla, Goldshlager sanoi perjantaina sähköpostilla.
Goldshlagerin mukaan Facebook Security Team vahvisti haavoittuvuuden. "Facebook on ammattitaitoinen tietoturvaryhmä, joka korjaa asiat hyvin nopeasti", hän sanoi. "Arvostamme tietoturvatutkijaa, joka toi tämän ongelman huomiomme ja raportoi virheellisesti White Hat -ohjelmallemme", Facebook-edustaja sanoi perjantaina sähköpostitse. "Olemme työskennelleet tiimin kanssa varmistaaksemme, että ymmärsimme haavoittuvuuden koko laajuuden, minkä ansiosta voimme korjata sen ilman todisteita siitä, että tätä vikaa käytettiin luonnonvaraisena. Koska tämä ongelma on raportoitu Facebookille, emme ole todistusaineistoa siitä, että tämä virhe vaikuttaa käyttäjiin. Olemme antaneet palkkion tutkijalle kiittääksemme heitä heidän osallistumisestaan Facebook Security -ohjelmaan. "
Tutkija väittää, että hän löysi myös muita OAuthiin liittyviä haavoittuvuuksia, jotka vaikuttavat Facebookiin, mutta kieltäytyivät paljastamasta mitään tietoja heistä, koska heillä on"
Facebook ylläpitää bug-palkkio-ohjelmaa, jonka kautta se maksaa rahaetuuksia turvallisuustutkijoille, jotka löytävät ja raportoivat vastuullisesti sivuston haavoittuvuuksista.
Goldshlager sanoi Twitterissä, ettei Facebook ole vielä maksanut raportoi tästä haavoittuvuudesta, mutta totesi, että hänen raporttinsa sisälsi useita haavoittuvuuksia ja että hän todennäköisesti saa palkkion, kun kaikki heistä on kiinnitetty.
Facebook maksaa turvallisuustutkijoille erittäin hyviä vikoja löytämiseksi ja raportoimiseksi, Goldshlager sanoi sähköpostitse. "En voi sanoa, kuinka paljon, mutta he maksavat enemmän kuin mikään muu virheenkorjausohjelma, jonka tiedän."
Päivitetty klo 11.55 PT:
Yahoo pisti reiän, joka mahdollisti sähköpostitilien kaappaamisen
Hiljattain havaitun sähköpostihyökkäyskampanjan hakkerit käyttivät Yahoo-sivuston haavoittuvuutta kaappaamaan sähköpostin Yahoo-käyttäjien tilit ja käyttää niitä roskapostiksi.
Suunnittelet online-tilien, identiteetin tai läsnäolon poistamista? Tilin luominen web-palveluun, joka on juuri saanut suosittua maailmanlaajuisesti, vaatii vain täyttämällä lomakkeen, joka sisältää nimen, ikäsi, sukupuoli ja muut tiedot. Jännitystä, käytät palvelua ja pidät siitä hyvin. Mutta sitten on suhteessa ongelma. Ajan myötä huomaat palveluehtojen muuttuneen, lisenssisopimukselle on tehty huomattavia muutoksia, jotka vain herättävät sinua hajottamaan palvelua.
Tämä kuitenkin vaikeuttaa. Kuten ex, jotkut verkkopalvelut eivät ehkä halua erottaa sinusta. Sellaisenaan. Nämä palvelut saattavat vaikeuttaa käyttäjiensä poistamista tileistä. Millä tavalla? Saatat löytää useita suojatoimia, jotka asennetaan matkan varrella, jotta voit kattaa muutaman askeleen ennen kuin napsautat `Poista` -painiketta ja lopetat yhteyden kerran ja kaiken mukaan.
Microsoft on julkaissut uuden RSS-pohjaisen teeman - Bing Dynamic themepack for Windows 7. Tämä teema näyttää tuoreen ladatun taustakuvan, joka päivittyy automaattisesti. Saat uuden kuvan Bingista joka viikko kolmen kuukauden ajan tämän Windows 7 -teeman avulla, joka päivittyy automaattisesti RSS-syötteen kautta.
Kun olet tilannut teemojen RSS-syötteen, Windows-tietokone lataa automaattisesti uudet taustakuvat aina, kun ne ovat lisätään Microsoftin teemapalvelimeen. Joten, kun muodostat Internet-yhteyden, kuvat tai taustakuvan taustakuvat ladataan tietokoneesi erityiseen kansioon ja näytetään automaattisesti työpöydälle.