Kategorie: IT, Hacking

Bezpečnostní chyby na facebooku - hack účtu?

Z medií nám neustále plynou zprávy o zcizení osobních informací z oblíbeného portálu facebook.com, kde pravda o zcizených účtech leží?

Autor: KdoSiOdJinud | Vydáno: 5.9.2010 16:02 | Přečteno: 27797x | Komentářů: 0

Co se o facebooku povídá

Fáma č.1 - krádeže osobních údajů

Nespočet blogů, důvěryhodných portálů a dokonce i televizních stanic neustále podává informace o špatném zabezpečení facebooku. "Údaje 100 milionů uživatelů Facebooku volně k dispozici" a jiné nadpisy nesou varující informaci.

Poslední z velkých případů této mlhavé informace se týká Rona Bowese, který zveřejnil podle medií právě ony citlivé informace. Co ale skutečně zveřejnil?

Nejčastější příjmení

Nejčastější křestní jména

Nejčastější jména

913465 smith
571819 johnson
512312 jones
503266 williams
471390 brown
386764 lee
360010 khan
355639 singh
343220 kumar
324972 miller
977014 michael
963693 john
924816 david
819879 chris
640957 mike
602088 james
584438 mark
515686 jason
503658 robert
484403 jessica
1230 becky smith
1229 prashant kumar
1229 brian brown
1228 patricia smith
1228 mike murphy
1228 amy williams
1228 abdul aziz
1227 larry johnson
1226 masud rana
1225 linh nguyen

Zveřejněna byla jména, příjmení, facebook ID a adresy profilu na Facebooku - údaje, které můžete volně získat, například pomocí bota na této http://www.facebook.com/directory.

Závěr: média nemají o čem mluvit a facebook.com je ideální manévr (díky velkému množství uživatelů => potencionálních zájemců o informace týkající se tématu)

Fáma č.2 - facebook je neuvěřitelně děravý

Fakt, že přihlášením na facebook se vystavujeme okamžitému nebezpečí je opět mylný. Jde o to, že facebook jako takový děravý není (bezpečnostní díra ještě nebyla nalezena), bezpečnost narušují aplikace, kterým však musíme povolit přístup.

Příklad napadení facebooku (aplikace) můžeme vzít například u hry "Mafia Wars", kde můžeme spustit javascript - chyba se nazývá XSS a dovoluje nám například nahradit současnou stránku naší podvrženou stránkou (viz. Hacknutí hesla na e-mail - sociotechnika, na co dávat pozor). Více o této chybě v druhé části článku...

Fáma č.3 - kdo navštívil můj profil?

Aplikace pro zobrazení kdo navštívil váš profil z 99% nefungují, 1% nechávám pro typ aplikace (ještě jsem se s nimi nesetkal), které když si povolíme, tak uvidíme profily všech, co jí také budou mít povolenou.

Fáma č.4 - rozešlete všem přátelům, jinak...

Jinak budete mít facebook placený atd. Zprávy tohoto typu jsou tzv. HOAX (více o hoaxu na www.hoax.cz), jde o fiktivní poplašné zprávy.

Každý by si měl vštípit pravidlo, že na takovéhle zprávy (ať už na facebooku, icq nebo třeba na mailu) nemá nikterak reagovat.

Fáma č.5 - facebook ničí vztahy

Sociální sítě slouží k výměně informací mezi přáteli (kdo?, kdy?, proč?, atd...). Na základě tohoto je mnohem jednodušší pro naše okolí vidět do našeho vztahu. Jakmile začneme mi nebo naše druhá polovička dělat něco, co okolí považuje za pochybné, dají o tom okamžitě znát. Platí pak:"Dělají z komára velblouda."

Obecně tedy platí, že dobře fungující vztah není ohrožen, záletníci to mají ovšem složitější :-)

Fáma č.6 - zasahuje do soukromí

Asi každý se setkal s tímto tvrzením. Proč to tak je? Mnoho lidí si neuváženě přidává do přátel každého, stovky přátel nejsou výjimkou. Otázka však je:"Chceme, aby tito lidé věděli, co děláme každý večer?". Pokud ano, patří do skupiny přátel - další filtrování toho, co má kdo z přátel k dispozici na našem profilu, je jen otázkou kvalitního nastavení. Z toho vyplývá, že to, jak moc zasahuje facebook do našeho soukromí, je jen na nás.

Facebook zasahuje do našeho soukromí jen tak, jak mu to dovolíme!

Bezpečnostní chyby facebooku

Jak už jsem se zmínil v bodě Fáma č.2 tak účty na facebooku nejsou napadnutelné přes samotný facebook, nicméně přes aplikace, které bezmyšlenkovitě povolujeme ano!

Příklad

Při spouštění hry Mafia Wars se nás zeptá fb na povolení aplikace.

Po potvrzení jsme přesměrováni na tuto adresu, která loaduje samotnou hru.

http://apps.facebook.com/inthemafia/?zy_link&perms=email&selected_profiles=1474495683&installed=1&session=[předávané parametry]

Nám jde především o přesměrování, v kterém můžeme pomocí nebezpečných znaků vložit ukončení tagu a následuje javascript. Řekněme si, že javascriptem toho moc nedokážeme, ale představte si, že uživateli zobrazíte formulář pro přihlášení. Tady chyba rozhodně existuje.

http://apps.facebook.com/inthemafia/?zy_link=http://apps.facebook.com/inthemafia/?zy_link="> < script > window.location.replace("http://www.google.com");</script>

pozor, při zkopírování linku musíte odstranit mezery mezi znaky :-) před potvrzením

Příklad využití chyby naleznete v článku Hacknutí hesla na e-mail - sociotechnika, na co dávat pozor!

Další chyby naleznete popsány třeba na této adrese, jedná se již o čerpání z databáze, autorem je Inj3ct0r.

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.