IT安全公司要求黑客窃取您的Facebook登录信息

一家IT安全公司呼吁黑帽黑客使用Facebook登录进入网站上的用户帐户。在该网站未能修复一年前Sakurity通知的漏洞之后,Sakurity对网络罪犯的吸引力源于对社交网络的挫败感。渗透测试公司现已发布Reconnect,这是一个让黑客以Booking.com,Bit.ly,Mashable.com和Vimeo等网站为目标的工具。

创始人Egor Homakov写道: Facebook在一年前拒绝解决这个问题,不幸的是,现在是时候将它提升到一个新的水平,并为这个简单的工具提供黑帽子。

甚至还有一个易于遵循的指南来帮助网络犯罪分子使用该工具,告诉黑客如何违反这些网站的安全协议,可能是为了鼓励Facebook更快地解决问题。

重新连接的工作原理是将用户登录到网络犯罪分子的Facebook帐户,并将用户的帐户链接到黑客的帐户,让后者控制用户。

犯罪分子可以首先将Facebook注销命令URL粘贴到Web浏览器中,然后创建一个Canvas应用程序,用于将受害者登录到自己的帐户中。

Canvas应用程序是在Facebook中加载的网页(即当您点击链接时它会将您带到所需的外部页面,但您仍然可以看到Facebook围绕内容的蓝色边框)。

此Canvas应用程序将尝试将用户登录到用户的帐户,但Sakurity显示如何重定向该用户以将用户登录到黑客的帐户。

一旦完成,黑客可以直接访问用户的帐户详细信息,并可以 更改电子邮件/密码,取消预订,阅读私人消息等 。

Tripwire的安全研究员Ken Westin对该工具进行了测试,称其为真正的交易。

我测试了它,看起来很合理, 他说。 这真是一个网络钓鱼者的梦想,我相信我们会看到很多Facebook帐户受此影响。

但他警告说,当用户依赖Firefox网络浏览器时,威胁甚至更严重。

如果用户登录Facebook并使用它登录Mashable或其他服务等网站,然后点击使用此漏洞创建的链接,攻击者可以将该帐户与他们的Facebook帐户相关联, 他解释说。 。