Специалисты по безопасности в Сети обнаружили новый способ получения лёгкого доступа к учётным записям в социальных сетях Интернет-пользователей.
В основе метода – лазейки, которые находят хакеры из-за недоработок в механизмах авторизации некоторых социальных сетей. Они позволяют войти в систему какого-либо web-сервиса, используя, например, свои учётные данные в LinkedIn.
Эксперты отмечают, что злоумышленник может создать учётную запись в LinkedIn, используя электронный адрес жертвы.
После этого, преступник заходит на ресурс Slashdot.org и использует функцию авторизации, указывая LinkedIn в качестве провайдера идентификации.
Несмотря на то, что провайдеры идентификации не раскрывают третьей стороне учётные данные пользователей, адрес электронной почты они выдают. После этого система сравнивает электронный адрес жертвы, отправленный LinkedIn, с уже существующими данными.
Таким образом, хакер получает контроль за учётной записью, которую затем использует для размещения вредоносных ссылок. При этом остальные пользователи будут уверены в том, что материал размещён надёжным источником.
Аналитики компании Shape Security, занимающейся безопасностью данных, установили, что хакеры часто используют черновики писем почтовых сервисов Gmail и Yahoo! чтобы контролировать пользовательские устройства.