Artykuły dotyczące tematu: Pinterest

dodany: 17.07.2013 | tagi: , , , ,

Bogus atakuje Pinterest!

0
pinterest

Wraz z wzrostem popularności serwisu Pinterest zwiększyła się też liczba złośliwego oprogramowania krążącego po wirtualnej tablicy.

Pinterest już na stałe wpisał się w krajobraz serwisów społecznościowych. Uruchomiony w maju 2010 roku, już pod koniec 2012 cieszył się liczbą ponad 25 milionów zarejestrowanych użytkowników.  Jednak rosnąca popularność serwisu przełożyła się także na wzrost liczby złośliwego oprogramowania atakującego użytkowników Pinteresta. Specjaliści z firmy F-Secure przestrzegają przed trojanem o nazwie Bogus, działającym na tej platformie. Wirus, który można porównać do złodzieja kieszonkowego, wykrada loginy oraz hasła zapisane w danych przeglądarek oraz przesyła je na zdalne serwery, kontrolowane przez cyberprzestępców.

Instalacja rozszerzenia skrywajacego wirusa Bogus. Źródło: F-Secure.

Instalacja rozszerzenia Pinterest Tool skrywajacego trojana Bogus. Źródło: F-Secure.

Złośliwe oprogramowanie podszywa się pod specjalną wtyczkę do przeglądarki internetowej o nazwie Pinterest Tool, która rzekomo usprawnia działanie serwisu oraz umożliwia dostęp do nowych funkcji, takich jak choćby możliwość „przepinania” zdjęć z dowolnej strony www bezpośrednio na tablicę. Bogus pojawia się na tablicy głównej w formie „pinu”, a klikniecie na niego skutkuje wyświetleniem się komunikatu o konieczności instalacji Pinterest Tool. Dotychczas zidentyfikowano ponad 20 profilów na Pintreście, za których pośrednictwem Bogus rozprzestrzenia się wśród użytkowników tego serwisu. Jeśli złośliwa wtyczka została już zainstalowana, można ją w bardzo prosty i skuteczny sposób usunąć. Wystarczy jedynie przejść w ustawieniach przeglądarki do narzędzi oraz odnaleźć w zakładce „rozszerzenia” wtyczkę Pinterest Tool i ją odinstalować.

Wraz z wzrostem popularności takich serwisów, jak: Facebook, Twitter, Tumbler czy Pinterest, zwiększyła się też liczba złośliwego oprogramowania krążącego w social media. Przypadek Bogusa jest kolejnym dowodem na to, że w przyszłości najwyższe skoncentrowanie zagrożeń będzie dotyczyło portali społecznościowych odwiedzanych przez miliony internautów, a nie – jak było jeszcze do kilka lat temu –stron pornograficznych, portali aukcyjnych czy wirtualnych kasyn

– mówi Michał Iwan z F-Secure Polska.

 

Źródło: F-Secure

dodany: 23.02.2013 | tagi: , , , ,

Hack na Zendesk skompromitował dane użytkowników Twittera, Tumblr i Pinteresta

4

Nastały czasy, w których mało który użytkownik Internetu, a zwłaszcza wszelakich portali społecznościowych, może czuć się bezpiecznie.

Dane trzech z najpopularniejszych mediów społecznościowych zostały naruszone. Ale to nie one były bezpośrednim celem ataku. Nazwałabym je raczej skutkiem ubocznym całego zdarzenia.

Firma zajmująca się wsparciem technicznym klienta, Zendesk, ujawniła dziś na swoim blogu, że stała się ofiarą naruszenia bezpieczeństwa, i jakby tego było mało, informacje trzech z jej klientów zostały pobrane przez atakujących. Wired jako pierwsze opublikowało nazwy tych klientów. Byli to Twitter, Tumblr i Pinterest.

W oświadczeniu na blogu pojawiła się informacja, że „usterka” została natychmiast znaleziona i załatana:

Nasze trwające śledztwo wskazuje, że haker miał dostęp do informacji o pomocy trzech z naszych klientów, które były przechowywane w naszym systemie. Najprawdopodobniej haker pobrał adresy e-mail użytkowników, którzy kontaktowali się w sprawach wsparcia i pomocy z ramienia naszych trzech klientów. Powiadomiliśmy o wszystkim naszych klientów i pracujemy wraz z nimi nad rozwiązaniem tego problemu.

Chociaż Zendesk nie podaje nazw swoich klientów, niektórzy użytkownicy zaczęli otrzymywać ostrzeżenia, że mogli zostać ofiarami naruszenia.

Tumblr wystosował e-mail do redakcji CNET, którego treść wyraźnie wskazuje na bycie jednym z trzech zainteresowanych klientów:

Jeśli maile, które zostały wysłane do Tumblr Support zawierały adresy waszych blogów, może stać się tak, że wasze adresy e-mailowe zostaną z nimi powiązane. Wszelkie informacje, jakie zawarliście w e-mailach do Tumblr Support mogą zostać wyeksponowane i narażone. Zalecamy zapoznanie się z korespondencją wysyłaną przez was na którykolwiek z poniższych adresów:

abuse@tumblr.com, support@tumblr.com, dmca@tumblr.com, legal@tumblr.com, enquiries@tumblr.com lub lawenforcement@tumblr.com.

 

dodany: 02.01.2013 | tagi: , , , ,

Znów wpadka Facebooka

3

Badacz bezpieczeństwa Frans Rosén odkrył podatność Facebooka na atak XSS. Co ciekawe stało się to przy okazji badania DropBoksa pod kątem bezpieczeństwa, w którym stwierdził także możliwość przeprowadzenia ataku Cross Site Scripting. Odkrywca zauważył, że korzystając z dysku webowego DropBoksa w przypadku próby zmiany nazwy pliku na znak niedozwolony (czyli |   < > ?), otrzymamy komunikat o błędzie:

fb1

Co innego, gdy zmienimy nazwę pliku w lokalnym folderze, a następnie przeprowadzimy synchronizację. Wtedy bezproblemowo można dokonać ataku. Rosén zgłosił problem autorom programu, trafiając tym samym na listę podziękowań. Problem został oczywiście wyeliminowany przez autorów.

Jednak to nie koniec odkryć Fransa – niedawno Facebook rozszerzył swoje możliwości o współpracę z DropBoksem, dzięki czemu można m.in. udostępniać pliki z DB dla grup utworzonych na Facebooku. Podczas próby udostępnienia pliku z ‚”><img src=x onerror=alert(document.domain)>.txt na fejsubkowej „ścianie” pojawił się wpis z linkiem prowadzącym do udostępnionego elementu. Sęk w tym, że po kliknięciu w niego było możliwe wstrzyknięcie dowolnego skryptu. Rosén oczywiście po raz kolejny zachował się honorowo i zgłosił problem przez „fejsubkowy” system zgłoszeń dot. bezpieczeństwa WhiteHat.

stored-xss-facebook

Oto jak wygląda udostępniony link:

https://www.facebook.com/ajax/sharer/?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first

Powyższy do załadowania skryptu wymaga interakcji użytkownika. Jednak Frans „wygóglał” metodę modyfikacji jego, aby skrypt uruchamiał się odraz po kliknięciu na link:

https://www.facebook.com/sharer/sharer.php?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first

Warunkiem wykonania zaszytego skryptu jest tylko status zalogowania użytkownika. Nie był to bynajmniej problem DropBoksa, gdyż Frans odkrył to samo zachowanie przy korzystaniu z innego podpiętego pod FB serwisu Pinterest.com –  po stworzeniu pliku z nazwą wcześniej użytego schematu, tj. ‚”><img src=x onerror=alert(document.domain)> – Facebook zachował się identycznie, dając możliwość uruchomienia skryptu.

Co ciekawe programiści, zamiast naprawić od razu problem, byli ciekawi jak Fransowi udało się stworzyć tak nietypową nazwę pliku, choć to było najmniej istotne. Powyższy problem odkrywca przetestował także na wersji mobilnej FB z poziomu iPhone’a – domyślnie skrypt się nie uruchamiał, gdyż aplikacja przekierowywała na główną stronę Facebook.com – wystarczyło jednak zmienić parametr m2w, aby wyłączyć automatyczne przekierowanie i uruchomić złośliwy link.

 

Facebook wziął uwagi do siebie i naprawił problem na drugi dzień od zgłoszenia, a odkrywca został nagrodzony kwotą 3’500 USD.

Twórcy serwisu społecznościowego sami sobie zasłużyli na słabnącą popularność, dodatkowo tylko pogarszają swoją sytuację wprowadzając kolejne możliwości, bez uprzedniego przeanalizowania bezpieczeństwa – to nie była jedyna wpadka – z okazji nowego roku wprowadzono nową funkcję Midnight Delivery, która służyła do publikacji życzeń noworocznych. Sęk w tym, że życzenia mógł odczytać praktycznie każdy, gdyż link prowadzący do nich miał schemat przyrostowy – wystarczyło zmienić  ostatnią liczbę xxx w poniższym linku, by odczytać dowolne życzenia:

http://www.facebookstories.com/midnightdelivery/confirmation?id=xxxx

Problem może nie tak poważny, ale ta notoryczność błędów aż razi – naprawiono go później.