útočník může snadno použít tři kusy veřejně dostupných informací k PWN něčí Myspace účet.
bezpečnostní výzkumnice Leigh-Anne Gallowayová narazila na tento bezpečnostní dohled již v dubnu, když narazila na svůj starý účet Myspace. Výzkumník se rozhodl, že chce smazat svůj účet, ale nejprve se musela přihlásit. Udělat to, šla na stránku obnovení účtu Myspace.
jak můžete vidět na výše uvedeném snímku obrazovky, Myspace požádá o několik osobních údajů, než obnoví přístup ke ztracenému účtu. Je tu jen jeden problém: bez ohledu na hvězdičku „povinné pole“ připojenou k textovému poli e-mailové adresy Myspace neověřuje e-mailovou adresu registrovaného uživatele. To znamená, že uživatel může obnovit svůj účet pouze se svým jménem, uživatelské jméno, a datum narození.
snadné, že? Trochu příliš snadné.
jak se ukázalo, není zdaleka nemožné najít tyto tři údaje online.
útočníci mohou pomocí vyhledávání Google najít jméno a uživatelské jméno uživatele Myspace online. (Určité porušení potvrzené Myspace v 2016 snižuje zatížení objevování těchto dvou bitů informací.) Útočníci mohou mít obtížnější najít něčí datum narození, ale byli byste překvapeni, kolik lidí uvádí své zvláštní dny na Facebook nebo jiné platformy sociálních médií.
ten, kdo zadá tyto informace, obdrží z Myspace okamžitý přístup k účtu registrovaného uživatele.
Galloway nevěřila svým očím. Jak vysvětluje v blogu:
„Myspace již nemusí být relevantní jako web sociálních médií, ale jeho zacházení s bezpečností je stejně relevantní jako kdykoli předtím.“
na podporu tohoto pohledu, bezpečnostní výzkumník napsal Myspace o zranitelnosti na 23 duben. Od 17. července nic neslyšela, datum, kdy se rozhodla tuto zranitelnost zveřejnit.
bez jakéhokoli slova z Myspace, které by naznačovalo, že má v úmyslu opravit chybu v dohledné době, uživatelé, kteří se obávají, že by někdo mohl přistupovat k jejich účtu, číst jejich staré zprávy a zneužívat jejich informace, nemají mnoho možností. Existuje opravdu jen jeden postup: uživatelé by měli využít Myspace obnovení účtu získat přístup k a následně odstranit své účty. Není to optimální postup, ale když se společnost nestará o bezpečnost dat svých zákazníků,není co dělat.
styďte se, Myspace, za takový pochybný konec …
pro další diskusi o tomto incidentu si poslechněte tuto epizodu podcastu“ Smashing Security“:
Smashing Security #034: ‚pero je mocnější než heslo‘
váš prohlížeč nepodporuje tento zvukový prvek.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Poslouchejte na Apple Podcasts / Google Podcasts / Pocket Casts / Spotify / Other… / RSS
více epizod…
další čtení: Myspace opravuje bezpečnostní díru účtu – ale stejně svůj účet smažte.
našel tento článek zajímavý? Sledujte Grahama Cluleyho na Twitteru a přečtěte si více exkluzivního obsahu, který zveřejňujeme.
David Bisson je InfoSec news feťák a bezpečnostní novinář. Pracuje jako přispívající Editor pro Graham Cluley Security News a Associate Editor Pro Tripwire „the State of Security“ blog.