Хакеры могут “угнать” учётную запись через механизм авторизации

Специалисты по безопасности в Сети обнаружили новый способ получения лёгкого доступа к учётным записям в социальных сетях Интернет-пользователей.

В основе метода – лазейки, которые находят хакеры из-за недоработок в механизмах авторизации некоторых социальных сетей. Они позволяют войти в систему какого-либо web-сервиса, используя, например, свои учётные данные в LinkedIn.

Эксперты отмечают, что злоумышленник может создать учётную запись в LinkedIn, используя электронный адрес жертвы.

После этого, преступник заходит на ресурс Slashdot.org и использует функцию авторизации, указывая LinkedIn в качестве провайдера идентификации.

Несмотря на то, что провайдеры идентификации не раскрывают третьей стороне учётные данные пользователей, адрес электронной почты они выдают. После этого система сравнивает электронный адрес жертвы, отправленный LinkedIn, с уже существующими данными.

Таким образом, хакер получает контроль за учётной записью, которую затем использует для размещения вредоносных ссылок. При этом остальные пользователи будут уверены в том, что материал размещён надёжным источником.

Аналитики компании Shape Security, занимающейся безопасностью данных, установили, что хакеры часто используют черновики писем почтовых сервисов Gmail и Yahoo! чтобы контролировать пользовательские устройства.