Démonstration d'une attaque par login social

Hoʍlett PUBLIC DOMAIN 9/12/2014

Démonstration d’une attaque par login social
▻http://korben.info/social-login-attaque.html

D’un côté, il y a vous... Vous avez, par exemple, un compte sur Slashdot (comme dans la démo ci-dessous) ou un autre site et vous êtes bien inscrit avec votre email toto@gmail.com. De l’autre côté, il y a l’affreux script kiddy qui se rend sur Linkedin, site sur lequel vous n’êtes pas inscrit. Il se crée alors un compte avec VOTRE adresse email (toto@gmail.com). Linkedin vous envoie un email de confirmation, mais même si l’email n’est pas vérifié, le hacker est bien authentifié sous Linkedin.
L’attaquant peut alors se rendre sur Slashdot, et demander à se logger avec le compte Linkedin qu’il a créé avec votre email. Et paf, il accède à votre compte sans avoir besoin de quoi que ce soit.

Putain c’est tellement trivial...

#Authentification_unique #Faille_de_sécurité #Piratage_informatique

Hoʍlett PUBLIC DOMAIN

b_b @b_b PUBLIC DOMAIN 9/12/2014

héhé, j’en causais sur IRC ce matin :
< b_b‎ > ha ben je savais que linkedin c’est caca, mais là c’est juste énorme

b_b @b_b PUBLIC DOMAIN
geneghys @geneghys 9/12/2014

Tout s’explique !!!

geneghys @geneghys
RastaPopoulos @rastapopoulos CC BY-NC 10/12/2014

Toujours attendre la vérification email avant de connecter le compte.

RastaPopoulos @rastapopoulos CC BY-NC
vide @touti 10/12/2014

Toujours attendre la vérification email avant de connecter le compte.
Pas d’accord, ça dépend à quoi se connectera le compte et évidemment quels sont alors ses droits.
@b_b pareil Moi qui bataille et même fâche parfois les amis pour leur faire comprendre de pas utiliser cette daube de linkedin qui sniffe toutes leurs adresses, ça me fait bien rire de voir qu’ils ne protègent même pas leurs propres utilisateurs. Mais d’ailleurs, pourquoi le feraient -ils ? c’est comme hotmail, c’est leur fond de commerce. Les banquiers se foutent bien d’où vient l’argent, d’une arnaque linkedin orange ou hotmail, les banques raffolent des failles de sécu.
Tiens, je viens de recevoir un mail d’urgence d’une amie (qui vient de se faire pirater vous aurez compris) « surtout ne m’appelle pas » j’ai quand même répondu pour rire …

vide @touti

Écrire un commentaire