GMAIL-Benutzer sollten sich einer neuen Sicherheitslücke bewusst sein, die das Hacken von Facebook-Konten ermöglichen könnte.
Das Problem wurde von dem Forscher Youssef Sammouda aufgedeckt, der sich seiner annahm bloggen um davor zu warnen, Google Mail-Anmeldeinformationen zu verwenden, um sich bei Facebook anzumelden.
Sammouda sprach mit Der tägliche Schluck um die Auswirkungen dieses Fehlers zu erklären.
Laut dem Forscher war er in der Lage, die Konten von Facebook-Nutzern zu entführen, die sich über ihre Gmail-Anmeldeinformationen angemeldet hatten.
Er sagte, dass er dies erreicht habe, indem er einen Google OAuth id_token/code verwendet habe, um sich auf der Website anzumelden.
Dies wird als “offene Autorisierung” bezeichnet. Es ist ein Standard, der von Amazon, Microsoft, Twitter und anderen großen Namen verwendet wird und es Benutzern ermöglicht, Konten mit Websites von Drittanbietern zu verknüpfen, indem sie Anmeldeinformationen von einer dieser größeren Websites verwenden. Forbes genannt.
Abgesehen davon kann diese Technik anscheinend verwendet werden, um andere Konten zu hacken, nicht nur Facebook, sagte Sammouda.
Die Tech-Bürgerwehr hat jedoch möglicherweise verhindert, dass viele Benutzer gehackt wurden.
Sammouda gab bekannt, dass ihm von Facebook ein „Kopfgeld“ in Höhe von 44.625 US-Dollar gezahlt wurde, nachdem er seine Entdeckung geteilt hatte.
Er sagte, Facebook habe reagiert und Maßnahmen gegen den Open Authorization Hack ergriffen.
Forbes teilte eine Erklärung des Sicherheitsanbieters mit Malwarebytes Labs bezüglich Konten, die durch offene Autorisierung verknüpft sind.
„Verknüpfte Konten wurden erfunden, um die Anmeldung zu vereinfachen“, sagte Malware-Intelligence-Forscher Pieter Arntz.
“Sie können ein Konto verwenden, um sich bei anderen Apps, Websites und Diensten anzumelden … Alles, was Sie tun müssen, um auf das Konto zuzugreifen, ist zu bestätigen, dass das Konto Ihnen gehört.”
„Wir würden es nicht empfehlen, denn wenn jemand an das eine Passwort kommt, das sie alle kontrolliert, sind Sie in noch größeren Schwierigkeiten, als wenn nur das Passwort einer Website kompromittiert wäre“, sagte er.
Dies kommt, da Google kürzlich eine dringende Sicherheitswarnung an Milliarden von Telefonbesitzern ausgegeben hat.
Und Android-Nutzer sollten ihr Handy gleich jetzt auf ein großes Sicherheitsrisiko überprüfen.
Wir zahlen für Ihre Geschichten!
Haben Sie eine Geschichte für das Team von The US Sun?