IBM的一个安全团队周四宣布,他们发现了一个新的网站漏洞,攻击者可以利用LinkedIn、亚马逊(Amazon)和Mydigipass.com等身份提供商冒充纳斯达克(Nasdaq.com)和Slashdot.com等网站上用户的身份。在发布该消息之前,IBM联系了身份提供者,允许他们修补该问题。
破解方法非常简单。首先,攻击者使用受害者的电子邮件帐户在LinkedIn或Amazon上注册一个社交登录帐户。(规定:受害者必须没有该身份提供者的账户。)然后受害者会收到一封电子邮件来验证新帐户。
问题在于:第二阶段的黑客攻击不需要电子邮件验证。攻击者转而前往支持使用社交账户登录的网站,并选择“用LinkedIn登录”或“用亚马逊登录”或任何相关选项。如果攻击者选择了刚创建但未经验证的帐户,而受害者已经在相关网站上有了个人资料(两者都与相同的电子邮件地址相关联),易受攻击的网站将验证攻击者的身份,使他或她能够假设受害者的身份。
这才是真正的麻烦开始的地方。攻击者可以伪装成纳斯达克网站上的上市公司高管,对股票发表评论,从而影响该公司的股票表现。攻击者可以以假定的身份在网站上发布恶意链接,使任何足够好奇的人都能点击钓鱼攻击,从而使黑客获得敏感信息(这可能很快导致更多的妥协)。欧宝球网站
“这是一个巨大的安全漏洞,”Janrain的高级产品经理马拉•海伊(Marla Hay)表示。Janrain是一家通过社交登录将网站与身份提供商连接起来的公司。(包括Nasdaq.com和slashdot.com在内的一些易受攻击的网站使用Janrain的服务)“这是一个超级容易发动的攻击,”她补充道。
Janrain营销副总裁杰米•贝克兰(Jamie Beckland)表示,确保社交登录安全的责任落在了第三方网站身上。即便如此,当贝克兰的团队通过一个VentureBeat文章之后,该公司在一个小时内联系了客户,帮助他们修复了漏洞。
Hay建议那些网站包含社交登录的公司——所谓的依赖网站——采取一些措施。首先,他们应该确保设置一个字段,请求一个经过验证的电子邮件地址,而不是任何旧的未经验证的电子邮件地址。其次,他们应该禁止用户在未经验证的电子邮件地址之前进行身份验证。最后,他们应该考虑只接受那些要求用户在通过社交登录验证之前验证电子邮件地址的身份提供者。
在一篇博文中佩莱斯(Or Peles)说0b足球描述这次袭击的白皮书(它被称为“SpoofedMe”)写道:“虽然修复身份提供者漏洞足以阻止这次攻击……但对于易受攻击的网站来说,修复网站设计问题很重要,因为它可能会让用户遭受类似的攻击。”
下面,袭击的视频演示由研究人员编译:0b足球
youtube [https://www.youtube.com/watch?v=kC0s3S00Dmk?rel=0&showinfo=0]
接下来,写道:这家公司想要终结网络匿名
