Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka
विषयसूची:
फेसबुक ने गंभीर भेद्यता का सामना किया है जो हमलावरों को आसानी से निजी उपयोगकर्ता खाता डेटा तक पहुंच प्राप्त करने और उपयोगकर्ताओं को खोलने के लिए खातों को नियंत्रित करने की अनुमति दे सकता था विशेष रूप से तैयार किए गए लिंक, एक वेब अनुप्रयोग सुरक्षा शोधकर्ता ने देर से गुरुवार को कहा।
शोधकर्ता जो नियर गोल्डशैगर, जो दावा पाया है कि उन्होंने दोष पाया है और फेसबुक पर इसकी सूचना दी है, ने अपने ब्लॉग पर हमले के बारे में एक विस्तृत विवरण और वीडियो प्रदर्शन पोस्ट किया।
भेद्यता ने एक संभावित हमलावर को ओएथ एक्सेस टोकन नामक जानकारी के संवेदनशील टुकड़ों को चुरा लेने की अनुमति दी होगी। फेसबुक उपयोगकर्ताओं को स्वीकृति मिलने के बाद तीसरे पक्ष के अनुप्रयोगों को उपयोगकर्ता खातों तक पहुंच प्रदान करने के लिए OAuth प्रोटोकॉल का उपयोग करता है। प्रत्येक एप्लिकेशन को प्रत्येक उपयोगकर्ता खाते के लिए एक अद्वितीय पहुंच टोकन असाइन किया जाता है।
[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]गोल्डशैगर को मोबाइल और टच-सक्षम डिवाइसों के लिए फेसबुक की वेबसाइटों पर एक भेद्यता मिली जो अनुचित से निकलती है यूआरएल पथ की sanitization। इसने उन्हें उन URL को तैयार करने की अनुमति दी जो उपयोगकर्ता द्वारा उनके प्रोफ़ाइल पर इंस्टॉल किए गए किसी भी एप्लिकेशन के लिए एक्सेस टोकन चोरी करने के लिए उपयोग किए जा सकते थे।
जबकि फेसबुक पर अधिकांश एप्लिकेशन तीसरे पक्ष के ऐप्स हैं जिन्हें उपयोगकर्ताओं को मैन्युअल रूप से स्वीकृति देने की आवश्यकता होती है, वहां एक कुछ अंतर्निहित अनुप्रयोग जो पूर्व-अनुमोदित हैं। ऐसा एक एप्लीकेशन फेसबुक मैसेंजर है; इसका एक्सेस टोकन समाप्त नहीं होता है जब तक कि उपयोगकर्ता अपना पासवर्ड बदल नहीं लेता है और इसमें खाता डेटा तक पहुंचने के लिए व्यापक अनुमतियां होती हैं।
फेसबुक मेसेंजर संदेश, नोटिफिकेशन, फोटो, ईमेल, वीडियो आदि को पढ़, भेज, अपलोड और प्रबंधित कर सकता है। गोल्डफ्लैगर ने कहा कि एम.एस.बुकबुक और टच.फेसबुक डॉट कॉम पर यूआरएल मैनिपुलेशन भेद्यता का पता लगाया जा सकता था, जिसे फेसबुक मैसेंजर के लिए उपयोगकर्ता के एक्सेस टोकन चुरा लेने के लिए शोषण किया जा सकता था, जो हमलावर को खाते तक पूर्ण पहुंच प्रदान करता था।
फिंगर बग-शिकारी द्वारा
हमला यूआरएल कई यूआरएल शॉर्टनर सेवाओं में से एक के साथ छोटा हो सकता था और कुछ अन्य लोगों के लिंक के रूप में उपयोगकर्ताओं को भेजा गया था। गोल्डशैगर ने कहा कि हमलावर उन खातों पर भी काम करेगा, जिनके पास फेसबुक के दो-कारक प्रमाणीकरण सक्षम थे।
एक्सेस टोकन और फेसबुक उपयोगकर्ता आईडी के साथ, हमलावर ग्राफ़ एपीआई एक्सप्लोरर का उपयोग कर उपयोगकर्ता खाते से जानकारी निकाल सकता है, फेसबुक की साइट पर उपलब्ध डेवलपर्स के लिए टूल, गोल्डशैगर ने शुक्रवार को ईमेल के माध्यम से कहा।
गोल्डशैगर के मुताबिक, फेसबुक सिक्योरिटी टीम ने भेद्यता तय की। उन्होंने कहा, "फेसबुक की एक पेशेवर सुरक्षा टीम है और वे बहुत तेजी से मुद्दों को ठीक करते हैं।"
"हम सुरक्षा शोधकर्ता की प्रशंसा करते हैं जिन्होंने इस मुद्दे को हमारे ध्यान में लाया और जिम्मेदारी से हमारे व्हाइट हैट कार्यक्रम में बग की रिपोर्ट करने के लिए" एक फेसबुक प्रतिनिधि शुक्रवार को ईमेल के माध्यम से कहा। "हमने यह सुनिश्चित करने के लिए टीम के साथ काम किया कि हम कमजोरता के पूर्ण दायरे को समझ चुके हैं, जिसने हमें बिना किसी सबूत के इसे ठीक करने की इजाजत दी कि जंगली में इस बग का शोषण किया गया था। फेसबुक पर इस मुद्दे की ज़िम्मेदार रिपोर्टिंग के कारण, हमारे पास कोई सबूत नहीं है कि उपयोगकर्ताओं को इस बग से प्रभावित किया गया था। हमने शोधकर्ता को फेसबुक सुरक्षा में उनके योगदान के लिए धन्यवाद देने के लिए एक उपहार प्रदान किया है। "
शोधकर्ता का दावा है कि उन्हें अन्य ओथ से संबंधित भेद्यताएं भी मिलीं जो फेसबुक को प्रभावित करती हैं, लेकिन उनके बारे में कोई जानकारी प्रकट करने से इनकार कर दिया क्योंकि वे ' टी अभी तक तय नहीं किया गया है।
फेसबुक एक बग बाउंटी प्रोग्राम चलाता है जिसके माध्यम से यह सुरक्षा शोधकर्ताओं को मौद्रिक पुरस्कार देता है जो साइट को प्रभावित करने वाली भेद्यता की रिपोर्ट करते हैं और जिम्मेदारी से रिपोर्ट करते हैं।
गोल्डशैगर ने ट्विटर पर कहा कि उन्हें अभी तक फेसबुक द्वारा भुगतान नहीं किया गया है इस भेद्यता की रिपोर्टिंग, लेकिन ध्यान दिया कि उनकी रिपोर्ट में कई भेद्यताएं शामिल हैं और उन्हें सभी को ठीक होने के बाद इनाम प्राप्त होगा।
गोल्डश्लगर ने ईमेल के माध्यम से कहा, फेसबुक सुरक्षा शोधकर्ताओं को बग खोजने और रिपोर्ट करने के लिए बहुत अच्छी तरह से भुगतान करता है। "मैं इतना नहीं कह सकता, लेकिन वे किसी भी अन्य बग बाउंटी प्रोग्राम का भुगतान करते हैं जो मुझे पता है।"
फेसबुक से एक टिप्पणी शामिल करने के लिए 11:55 एएम पीटी पर अपडेट किया गया।
अपने ब्राउज़र में सुरक्षा छेद कैसे प्लग करें
अपने ब्राउज़िंग इतिहास की सुरक्षा के लिए, ऐप्पल के सफाई में मुफ्त निजी ब्राउज़िंग सुविधा या अविश्वसनीय ऐड- फ़ायरफ़ॉक्स के लिए पूर्ण नामांकन के लिए, शुल्क-आधारित अनामकर्ता या निःशुल्क टोर आज़माएं।
सैमसंग को अभी भी एंड्रॉइड डिवाइसों में छेद प्लग करने की जरूरत है
सैमसंग अभी भी एक सॉफ्टवेयर दोष को ठीक करने के लिए काम कर रहा है जो हमलावरों को व्यक्तिगत डेटा से अलग करने की इजाजत दे सकता है एक फोन।
याहू ने छेद प्लग किया है जो ईमेल खातों को अपहृत करने की इजाजत देता है
हाल ही में पता चला ईमेल हमले अभियान के पीछे हैकर्स ने ईमेल को हाइजैक करने के लिए याहू वेबसाइट में भेद्यता का शोषण किया याहू उपयोगकर्ताओं के खातों और स्पैम के लिए उनका उपयोग करें।