Firefox add-on möjliggör enkel hacking av Facebook-konton

tänk två gånger innan du loggar in på Facebook med gratis WiFi – åtkomst-om du inte har något emot snoopers som läser och eventuellt ändrar din profil.

en mjukvaruutvecklare hoppas kunna utbilda användare om farorna med att använda osäkra WiFi-nätverk med ett datorprogram som gör det enkelt att hacka in på Facebook och Twitter-konton.

med en nedladdning av Firesheep, en plug-in för Mozillas FireFox-webbläsare, är allt som krävs tålamod och ett par klick för att komma åt någons profil på en mängd olika webbplatser, inklusive Fotodelningssidan Flickr och WordPress-bloggplattformen.

Berättelsen fortsätter under annonsen

programmet sniffar ut inloggningar över nätverket och ansluter Firesheep-användare med dessa konton.

” webbplatser har ett ansvar att skydda de människor som är beroende av sina tjänster. De har ignorerat detta ansvar för länge, och det är dags för alla att kräva en säkrare webb”, skrev Seattle-baserade Eric Butler i ett blogginlägg som förklarar sitt program.

Butler, som avböjde intervjuförfrågningar, sa att inte alla webbplatser är sårbara för Firesheep, men för många webbplatser är inte tillräckligt säkra för att motverka hackare. Medan inmatade inloggningsuppgifter kan skyddas, användaren-identifierande information i cookies-små textfiler som webbplatser tillgång på en användares dator-är inte.

”på ett öppet trådlöst nätverk ropas cookies i princip genom luften, vilket gör dessa attacker extremt enkla”, skrev Butler.

”den enda effektiva lösningen för detta problem är fullständig end-to-end-kryptering, känd på webben som HTTPS eller SSL.”

på drygt 24 timmar laddades Firesheep ner mer än 129 000 gånger. Bland användarna var Ian Robertson, en IT-professionell i Ottawa som tog sin bärbara dator till ett par lokala kaffebutiker för att ge programmet en provkörning med en kollega.

”jag kunde se ungefär ett halvt dussin konton på Facebook och kunde faktiskt logga in på sina konton, Se alla sina foton, all sin privata information, deras telefonnummer – vad som helst”, säger Robertson.

Berättelsen fortsätter under annonsen

”bara för ett test med en av mina kollegor loggade jag in i hans profil och jag kunde ändra sin status till singel. Och inom ungefär 10 minuter hans flickvän kommenterade och sa, ’Varför??'”

Robertson sa att han var förvånad över hur lätt det var att använda och var orolig för att andra skulle ladda ner det för mycket mer skadliga ändamål än han gjorde.

” du känner dig typ av kraftfull, antar jag, som om du bara kunde gå in där och spam bort om du ville,” sa han.

Firesheep är på radaren för Kanadas integritetskommissionär men det har inte gjorts några offentliga förfrågningar om programmet och det pågår ingen utredning, säger taleskvinna Anne-Marie Hayden.

hon noterade att lagen om skydd av personuppgifter och elektroniska dokument kräver att företag använder skyddsåtgärder för att skydda personuppgifter.

”personuppgifter ska skyddas av säkerhetsåtgärder som är lämpliga för informationens känslighet. Säkerhetsåtgärderna ska skydda personlig information mot förlust eller stöld, såväl som obehörig åtkomst, avslöjande, kopiering, användning eller modifiering,” läser avsnitt 7 i lagen, som också säger att skyddet bör omfatta fysiska och tekniska åtgärder ”till exempel användning av lösenord och kryptering.”

”eftersom vi inte har undersökt denna fråga kan vi inte säga om en viss webbplats har brutit mot skyddsbestämmelserna i (lagen)”, sa Hayden.

i ett uttalande sa Facebook att det arbetar med att stärka sin kryptering och varnade för riskerna med att använda webbplatsen via WiFi.

”vi har gjort framsteg testa SSL tillgång till Facebook och hoppas att ge det som ett alternativ under de kommande månaderna,” uttalandet lyder.

”som alltid råder vi människor att vara försiktiga när de skickar eller tar emot information via osäkra Wi-Fi-nätverk.”

Kris Constable, grundare av det Victoria-baserade företaget PrivaSecTech, sa att säkerhetsproblemen från osäkra trådlösa nätverk kan vara nyheter för allmänheten, men de har länge utnyttjats av hackare.

Firesheep tar bara bort hindret för inträde för wannabe hackare.

”det som är gjort är gjort attacken mycket vackrare … det är typ av hur hacking ser ut i filmerna, ” sa Constable.

han hoppas att Firesheep äntligen kommer att lägga tillräckligt med press på företagsledare för att investera i bättre kryptering.

”när du lägger till något som kryptering till någon teknik kommer det att kosta företag mer att implementera så att de inte är motiverade att göra det, även om det kommer att göra människor säkrare”, sa han.

”men förhoppningsvis (Firesheep) kommer att tvinga företag att använda mer kryptering och jag tror med mer medvetenhet … folk kommer att faktiskt börja tänka, ’ väl, kanske när jag ska tala om känsliga saker jag behöver för att börja kryptera min e-post.’Folk kommer att börja tänka med varje webbplats de går till och varje e-post de skickar,’ är det krypterat eller inte?'”

för att skydda mot att bli hackad när du använder open WiFi rekommenderar Butler en annan FireFox-plugin som heter HTTPS-Everywhere, skapad av Electronic Frontier Foundation. Det skyddar mot data som läcker ut när du använder webbplatser som Facebook, Twitter, Amazon, WordPress.com bloggar och PayPal.

Lämna ett svar

Din e-postadress kommer inte publiceras.