Hlavní navigace

Útočníci se na vaše účty na sociálních sítích mohou dostat oklikou

Daniel Dočekal 6. 7. 2016

Hlídáte si, kterým aplikacím jste přidělili přístup ke svým účtům na sociálních sítích? Preventivní opatrnost vám může ušetřit řadu starostí.

V průběhu několika týdnů se týmu OurMIne podařilo dostat na účty na Twitteru poměrně známých lidí a něco hezkého jim tam napsat. Pronikli na účet Marka Zuckerberga, Sundara Pichaie (CEO Googlu), Travise Kalanicka (CEO Uberu) a možná i dalších lidí. Smyslem jejich aktivit bylo upozornění na hrozící nebezpečí. Pokud by chtěli škodit, tak ale mohli.

Zajímavé a podstatné je, že se jim nepodařilo získat přihlašovací údaje k účtům jako takovým. Podařilo se jim získat přístup k možnosti zveřejnit tweety oklikou, přes aplikace, kterým výše uvedení dali přístupová práva. 

U Twitteru jde o přístupová práva pro zápis (vedle neškodných práv pro čtení), která umožňují na daném účtu uveřejnit nové tweety. V některém z výše uvedených příkladů to udělali přes práva přidělená službě Quora, u jiných účtů přes Bit.ly či přes Sprout Social.

Hlídáte si, jaké aplikace mají přístup k vašim účtům?

Nemusí jít jenom o Twitter, přístup přes API je možné přidělit aplikacím i v dalších sociálních sítích i online službách. Podobné riziko tak může hrozit u Facebooku, Instagramu (s výjimkou toho, že tam API nepodporuje zveřejnění nových příspěvků) či LinkedIn. Ale také u Gmailu/Google Apps i řady dalších online služeb, které mají API, a dalšímu softwaru můžete přidat práva.

Je dobré se čas od času podívat, jakým aplikacím jste práva přidělili a odstraňovat takové aplikace, které už nepoužíváte. Nebo si nejste jisti, že je používáte

Je také dobré znát některé mechanismy. Nejdůležitější je, že žádné aplikace třetích stran nepotřebují pro přístup k Twitteru, Facebooku, Instagramu, Gmailu (atd.) vědět vaše přihlašovací údaje. Na tento přístup narazíte u klienta pro Instagram, který obchází API a přihlašuje se přímo jako vy. Pokud něco takového připustíte, riskujete.

Příklad: Na Twitteru přes NastaveníAplikace můžete vidět všechny aplikace, které mají přístup k vašemu Twitteru. Dozvíte se tam, kdy jste jim přístup dali, jaký přístup mají (čtení, zápis, soukromé zprávy) a pomocí „Odebrat přístup“ jim můžete práva odebrat. Bohužel zde není možné něco jako „Odebrat vše“, takže to bude trochu klikačka.

Pokud se někomu podaří získat přístup k aplikaci, která má od uživatelů přidělena práva k účtům na sociálních sítích, získá totožný přístup. Něco podobného se nemusí stát jen v případě, že někdo aplikaci hackne. Čas od času se to stane, když služba či aplikace zkrachuje a její data a zdrojové kódy převezme někdo jiný.

EBF16

Proto je dobré přehled aplikací s přístupovými právy pravidelně kontrolovat a čistit. Vyhoďte všechno, u čeho si nejste jisti, že opravdu víte, k čemu to slouží. V nejhorším případě následně zjistíte, že některá aplikace protestuje a budete jí muset práva znovu přidělit. Je ale lepší být preventivně aktivnější, než mít později zbytečný problém.

Pamatujte na to, že změna hesla k účtu (třeba poté, co vám na něj skutečně někdo pronikl) nemá na připojené aplikace žádný vliv. A útočníci si velmi často nechají zadní vrátka v podobě přidělení práv jejich aplikaci. Po každém útoku a následné změně hesla byste tedy opět měli zkontrolovat a promazat práva aplikací.

Našli jste v článku chybu?
DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku