Hlavní navigace

Útočníci se na vaše účty na sociálních sítích mohou dostat oklikou

Daniel Dočekal 6. 7. 2016

Hlídáte si, kterým aplikacím jste přidělili přístup ke svým účtům na sociálních sítích? Preventivní opatrnost vám může ušetřit řadu starostí.

V průběhu několika týdnů se týmu OurMIne podařilo dostat na účty na Twitteru poměrně známých lidí a něco hezkého jim tam napsat. Pronikli na účet Marka Zuckerberga, Sundara Pichaie (CEO Googlu), Travise Kalanicka (CEO Uberu) a možná i dalších lidí. Smyslem jejich aktivit bylo upozornění na hrozící nebezpečí. Pokud by chtěli škodit, tak ale mohli.

Zajímavé a podstatné je, že se jim nepodařilo získat přihlašovací údaje k účtům jako takovým. Podařilo se jim získat přístup k možnosti zveřejnit tweety oklikou, přes aplikace, kterým výše uvedení dali přístupová práva. 

U Twitteru jde o přístupová práva pro zápis (vedle neškodných práv pro čtení), která umožňují na daném účtu uveřejnit nové tweety. V některém z výše uvedených příkladů to udělali přes práva přidělená službě Quora, u jiných účtů přes Bit.ly či přes Sprout Social.

Hlídáte si, jaké aplikace mají přístup k vašim účtům?

Nemusí jít jenom o Twitter, přístup přes API je možné přidělit aplikacím i v dalších sociálních sítích i online službách. Podobné riziko tak může hrozit u Facebooku, Instagramu (s výjimkou toho, že tam API nepodporuje zveřejnění nových příspěvků) či LinkedIn. Ale také u Gmailu/Google Apps i řady dalších online služeb, které mají API, a dalšímu softwaru můžete přidat práva.

Je dobré se čas od času podívat, jakým aplikacím jste práva přidělili a odstraňovat takové aplikace, které už nepoužíváte. Nebo si nejste jisti, že je používáte

Je také dobré znát některé mechanismy. Nejdůležitější je, že žádné aplikace třetích stran nepotřebují pro přístup k Twitteru, Facebooku, Instagramu, Gmailu (atd.) vědět vaše přihlašovací údaje. Na tento přístup narazíte u klienta pro Instagram, který obchází API a přihlašuje se přímo jako vy. Pokud něco takového připustíte, riskujete.

Příklad: Na Twitteru přes NastaveníAplikace můžete vidět všechny aplikace, které mají přístup k vašemu Twitteru. Dozvíte se tam, kdy jste jim přístup dali, jaký přístup mají (čtení, zápis, soukromé zprávy) a pomocí „Odebrat přístup“ jim můžete práva odebrat. Bohužel zde není možné něco jako „Odebrat vše“, takže to bude trochu klikačka.

Pokud se někomu podaří získat přístup k aplikaci, která má od uživatelů přidělena práva k účtům na sociálních sítích, získá totožný přístup. Něco podobného se nemusí stát jen v případě, že někdo aplikaci hackne. Čas od času se to stane, když služba či aplikace zkrachuje a její data a zdrojové kódy převezme někdo jiný.

Proto je dobré přehled aplikací s přístupovými právy pravidelně kontrolovat a čistit. Vyhoďte všechno, u čeho si nejste jisti, že opravdu víte, k čemu to slouží. V nejhorším případě následně zjistíte, že některá aplikace protestuje a budete jí muset práva znovu přidělit. Je ale lepší být preventivně aktivnější, než mít později zbytečný problém.

Pamatujte na to, že změna hesla k účtu (třeba poté, co vám na něj skutečně někdo pronikl) nemá na připojené aplikace žádný vliv. A útočníci si velmi často nechají zadní vrátka v podobě přidělení práv jejich aplikaci. Po každém útoku a následné změně hesla byste tedy opět měli zkontrolovat a promazat práva aplikací.

Našli jste v článku chybu?

7. 7. 2016 22:26

Moje (neregistrovaný)

To jste napsal přesně :)

6. 7. 2016 11:35

Klik je cvik (neregistrovaný)

Ano takový dnešní uživatel ten toho musí čím dál víc :))

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!