V průběhu několika týdnů se týmu OurMIne podařilo dostat na účty na Twitteru poměrně známých lidí a něco hezkého jim tam napsat. Pronikli na účet Marka Zuckerberga, Sundara Pichaie (CEO Googlu), Travise Kalanicka (CEO Uberu) a možná i dalších lidí. Smyslem jejich aktivit bylo upozornění na hrozící nebezpečí. Pokud by chtěli škodit, tak ale mohli.
Zajímavé a podstatné je, že se jim nepodařilo získat přihlašovací údaje k účtům jako takovým. Podařilo se jim získat přístup k možnosti zveřejnit tweety oklikou, přes aplikace, kterým výše uvedení dali přístupová práva.
U Twitteru jde o přístupová práva pro zápis (vedle neškodných práv pro čtení), která umožňují na daném účtu uveřejnit nové tweety. V některém z výše uvedených příkladů to udělali přes práva přidělená službě Quora, u jiných účtů přes Bit.ly či přes Sprout Social.
Hlídáte si, jaké aplikace mají přístup k vašim účtům?
Nemusí jít jenom o Twitter, přístup přes API je možné přidělit aplikacím i v dalších sociálních sítích i online službách. Podobné riziko tak může hrozit u Facebooku, Instagramu (s výjimkou toho, že tam API nepodporuje zveřejnění nových příspěvků) či LinkedIn. Ale také u Gmailu/Google Apps i řady dalších online služeb, které mají API, a dalšímu softwaru můžete přidat práva.
Je dobré se čas od času podívat, jakým aplikacím jste práva přidělili a odstraňovat takové aplikace, které už nepoužíváte. Nebo si nejste jisti, že je používáte.
Je také dobré znát některé mechanismy. Nejdůležitější je, že žádné aplikace třetích stran nepotřebují pro přístup k Twitteru, Facebooku, Instagramu, Gmailu (atd.) vědět vaše přihlašovací údaje. Na tento přístup narazíte u klienta pro Instagram, který obchází API a přihlašuje se přímo jako vy. Pokud něco takového připustíte, riskujete.
Příklad: Na Twitteru přes Nastavení -> Aplikace můžete vidět všechny aplikace, které mají přístup k vašemu Twitteru. Dozvíte se tam, kdy jste jim přístup dali, jaký přístup mají (čtení, zápis, soukromé zprávy) a pomocí "Odebrat přístup" jim můžete práva odebrat. Bohužel zde není možné něco jako "Odebrat vše", takže to bude trochu klikačka.
Pokud se někomu podaří získat přístup k aplikaci, která má od uživatelů přidělena práva k účtům na sociálních sítích, získá totožný přístup. Něco podobného se nemusí stát jen v případě, že někdo aplikaci hackne. Čas od času se to stane, když služba či aplikace zkrachuje a její data a zdrojové kódy převezme někdo jiný.
Proto je dobré přehled aplikací s přístupovými právy pravidelně kontrolovat a čistit. Vyhoďte všechno, u čeho si nejste jisti, že opravdu víte, k čemu to slouží. V nejhorším případě následně zjistíte, že některá aplikace protestuje a budete jí muset práva znovu přidělit. Je ale lepší být preventivně aktivnější, než mít později zbytečný problém.
Pamatujte na to, že změna hesla k účtu (třeba poté, co vám na něj skutečně někdo pronikl) nemá na připojené aplikace žádný vliv. A útočníci si velmi často nechají zadní vrátka v podobě přidělení práv jejich aplikaci. Po každém útoku a následné změně hesla byste tedy opět měli zkontrolovat a promazat práva aplikací.
ČLÁNKY DO MAILU