Hlavní navigace

Útočníci se na vaše účty na sociálních sítích mohou dostat oklikou

Daniel Dočekal

Hlídáte si, kterým aplikacím jste přidělili přístup ke svým účtům na sociálních sítích? Preventivní opatrnost vám může ušetřit řadu starostí.

V průběhu několika týdnů se týmu OurMIne podařilo dostat na účty na Twitteru poměrně známých lidí a něco hezkého jim tam napsat. Pronikli na účet Marka Zuckerberga, Sundara Pichaie (CEO Googlu), Travise Kalanicka (CEO Uberu) a možná i dalších lidí. Smyslem jejich aktivit bylo upozornění na hrozící nebezpečí. Pokud by chtěli škodit, tak ale mohli.

Zajímavé a podstatné je, že se jim nepodařilo získat přihlašovací údaje k účtům jako takovým. Podařilo se jim získat přístup k možnosti zveřejnit tweety oklikou, přes aplikace, kterým výše uvedení dali přístupová práva. 

U Twitteru jde o přístupová práva pro zápis (vedle neškodných práv pro čtení), která umožňují na daném účtu uveřejnit nové tweety. V některém z výše uvedených příkladů to udělali přes práva přidělená službě Quora, u jiných účtů přes Bit.ly či přes Sprout Social.

Hlídáte si, jaké aplikace mají přístup k vašim účtům?

Nemusí jít jenom o Twitter, přístup přes API je možné přidělit aplikacím i v dalších sociálních sítích i online službách. Podobné riziko tak může hrozit u Facebooku, Instagramu (s výjimkou toho, že tam API nepodporuje zveřejnění nových příspěvků) či LinkedIn. Ale také u Gmailu/Google Apps i řady dalších online služeb, které mají API, a dalšímu softwaru můžete přidat práva.

Je dobré se čas od času podívat, jakým aplikacím jste práva přidělili a odstraňovat takové aplikace, které už nepoužíváte. Nebo si nejste jisti, že je používáte

Je také dobré znát některé mechanismy. Nejdůležitější je, že žádné aplikace třetích stran nepotřebují pro přístup k Twitteru, Facebooku, Instagramu, Gmailu (atd.) vědět vaše přihlašovací údaje. Na tento přístup narazíte u klienta pro Instagram, který obchází API a přihlašuje se přímo jako vy. Pokud něco takového připustíte, riskujete.

Příklad: Na Twitteru přes NastaveníAplikace můžete vidět všechny aplikace, které mají přístup k vašemu Twitteru. Dozvíte se tam, kdy jste jim přístup dali, jaký přístup mají (čtení, zápis, soukromé zprávy) a pomocí „Odebrat přístup“ jim můžete práva odebrat. Bohužel zde není možné něco jako „Odebrat vše“, takže to bude trochu klikačka.

Pokud se někomu podaří získat přístup k aplikaci, která má od uživatelů přidělena práva k účtům na sociálních sítích, získá totožný přístup. Něco podobného se nemusí stát jen v případě, že někdo aplikaci hackne. Čas od času se to stane, když služba či aplikace zkrachuje a její data a zdrojové kódy převezme někdo jiný.

KL17_hlasovani

Proto je dobré přehled aplikací s přístupovými právy pravidelně kontrolovat a čistit. Vyhoďte všechno, u čeho si nejste jisti, že opravdu víte, k čemu to slouží. V nejhorším případě následně zjistíte, že některá aplikace protestuje a budete jí muset práva znovu přidělit. Je ale lepší být preventivně aktivnější, než mít později zbytečný problém.

Pamatujte na to, že změna hesla k účtu (třeba poté, co vám na něj skutečně někdo pronikl) nemá na připojené aplikace žádný vliv. A útočníci si velmi často nechají zadní vrátka v podobě přidělení práv jejich aplikaci. Po každém útoku a následné změně hesla byste tedy opět měli zkontrolovat a promazat práva aplikací.

Našli jste v článku chybu?