en angriber kan nemt bruge tre stykker af offentligt tilgængelige oplysninger til fyrrevednematoden nogens Myspace-konto.
sikkerhedsforsker Leigh-Anne Gallay stødte på dette sikkerhedsovervågning tilbage i April, da hun snuble over en gammel Myspace-konto af hende. Forskeren besluttede, at hun ville slette sin konto, men hun var nødt til at logge ind først. For at gøre det, hun gik til Myspace konto opsving side.
som du kan se på ovenstående skærmbillede, beder Myspace om flere personlige oplysninger, før det gendanner adgangen til en mistet konto. Der er kun et problem: på trods af den “felt påkrævet” stjerne, der er fastgjort til tekstfeltet til e-mail-adressen, validerer Myspace ikke en registreret brugers e-mail-adresse. Det betyder, at en bruger kan gendanne deres konto med bare deres navn, brugernavn, og fødselsdato.
let, ikke? Lidt for let.
som det viser sig, er det ikke næsten umuligt at finde disse tre stykker data online.
angribere kan bruge en Google-søgning til at finde en Myspace-brugers navn og brugernavn online. (Et vist brud bekræftet af Myspace i 2016 mindsker belastningen af at opdage disse to bits information.) Angribere kan have en vanskeligere tid at finde en persons fødselsdato, men du vil blive overrasket over, hvor mange mennesker liste deres særlige dage på Facebook eller andre sociale medieplatforme.
den, der indtaster disse oplysninger, modtager fra Myspace øjeblikkelig adgang til den registrerede brugers konto.
Elisabeth kunne ikke tro sine egne øjne. Som hun forklarer i et blogindlæg:
“Myspace er muligvis ikke længere relevant som et socialt medieside, men dets behandling af sikkerhed er lige så relevant som nogensinde.”
til støtte for dette synspunkt skrev sikkerhedsforskeren til Myspace om sårbarheden den 23.April. Hun havde ikke hørt noget fra 17 Juli, den dato, hvor hun besluttede at afsløre sårbarheden.
uden noget ord fra Myspace, der angiver, at det har til hensigt at rette fejlen når som helst snart, har brugere, der er bekymrede for, at nogen kan få adgang til deres konto, læse deres gamle beskeder og misbruge deres oplysninger, ikke mange muligheder. Der er virkelig kun et handlingsforløb: brugere bør udnytte Myspace konto opsving til at genvinde adgang til og efterfølgende slette deres konti. Det er ikke det optimale handlingsforløb, men når en virksomhed ikke er ligeglad med deres kunders datasikkerhed, er der intet tilbage at gøre.
skam dig, Myspace, for sådan en uærlig ende…
for yderligere diskussion af denne hændelse tag en lyt til denne episode af” Smashing Security “podcast:
Smashing Security # 034: ‘pennen er mægtigere end adgangskoden’
din bro.ser understøtter ikke dette lydelement.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Lyt på Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | andet… / RSS
flere episoder…
yderligere læsning: Myspace løser konto sikkerhedshul – men slet din konto alligevel.
fandt denne artikel interessant? Følg Graham Cluley på kvidre for at læse mere af det eksklusive indhold, vi sender.
David Bisson er en infosec nyheder junkie og sikkerhed journalist. Han arbejder som bidragende redaktør for Graham Cluley sikkerhedsnyheder og associeret redaktør for Triptrådets blog “The State of Security”.