Thursday, August 30, 2018

Onverantwoorde social networkers connect me

Onverantwoorde social networkers connect me


Vandaag blijkt maar weer eens hoe klik/registreer graag de social networker is. Aan alles willen we mee doen, overal moeten we de eerste mee zijn.
We weten niet eens wat het is, wat het doet, van wie het is, of wat ermee gaat gebeuren. Maar toch registreren we ons alvast, want je weet maar nooit!
Connect.me is vandaag een hot item! Op twitter wemelt het ervan.

Maar wat doet connect.me nou eigenlijk? Het is een prachtige naam, dat zeker! Trekt genoeg zieltjes aan blijkbaar die graag: Connect.me zijn.
Als je de gehele registratie voltooid krijg je uiteindelijk deze pagina te zien:

Vooral de laatste zin: "Would regrettably have to kill you" is treffend, schrikbarend, dan wel zorgwekkend.

Het vervelende aan deze site is dat ze legaal lijken te werken. (Correct me if Im wrong). De registratie procedure gaat als volgt:
Je komt via een personal invite link op connect.me of browst zelf naar connect.me. Als je een personal invite link volgt word je direct met de persoon verbonden die deze link gespammed heeft. Je voert een username in, vervolgens word direct weergegeven of deze username vrij is, en vervolgens klik je op "Sign up".

Hierna krijg je de mogelijkheid je account te koppelen aan je Facebook, Twitter of LinkedIn. In dit geval heb ik voor twitter gekozen.


Vervolgens moet je zelf persoonlijk toestemming geven om deze applicatie toegang tot jouw twitter te geven. En hier schuilt hem het gevaar. Je geeft ZELF deze applicatie toegang. Er gebeurt dus niets illegaals. Je geeft de applicatie "Respect Network" toegang tot jouw twitter data EN je geeft ze de bevoegdheid deze te updaten!

Als laatste heb je nu dus Respect Network de mogelijkheid gegeven jouw twitter data in te zien en deze te gebruiken. Er word nog even gevraagd om een email adres aan het account te koppelen en je bent klaar. Nu je je eigen profiel heb gecreerd op connect.me kan je er niets mee. Het enige dat je kan is de link spammen, om vervolgens mensen erop te laten klikken zodat deze zich ook kunnen registreren en aan jouw account worden verbonden.
Op deze manier zal de eigenaar van deze twitter applicatie uiteindelijk beschikken over een database met usernames van fb/twitter/linkedin + email adressen. En meest belangrijk:
Hij zal uit deze data kunnen afleiden welke accounts de meeste blinde volgers hebben. Personen die simpel weg op links klikken en zich overal lukraak registreren.
Nu zal een ieder vast denken, wat heb je hier nou aan. Maar hier kan je ERG veel aan hebben. Zeker in het criminele circuit. Op de zwarte markt zullen inlog gegevens van deze account zeer veel waard zijn. En door het prijs geven van een username en email adres maak je het de aanvallers wel erg makkelijk om een van jouw accounts te hacken. Immers zijn er maar weinig mensen die voor hun twitter, facebook, linkedin dan wel hun mail verschillende wachtwoorden gebruiken. Deze aanvallers hebben op deze manier een keurige manier gebruikt om hun aanvals strategie te kunnen verbreden en via meerdere manieren eenzelfde (gekoppeld) account kunnen bemachtigen.

Wat er uiteindelijk met al deze gegevens zal gebeuren weet ik uiteraard niet. Maar mensen. Wees alsjeblieft op uw hoede en registreer je niet zomaar overal, plaats niet overal lukraak links en strooi ook niet zomaar overal met je email adres.

De persoon achter connect.me verschuilt zich overigens verder niet, dit is: Joe Johnston (Zie foto). Klik hier voor zijn eigen weblog.


Een ander goed blog bericht hierover (In English): nakedsecurity.sophos.com

visit link download