Ein Angreifer kann leicht drei öffentlich verfügbare Informationen verwenden, um das Myspace-Konto eines anderen zu beschädigen.
Die Sicherheitsforscherin Leigh-Anne Galloway stieß im April auf diese Sicherheitsaufsicht, als sie auf einen alten Myspace-Account von ihr stieß. Die Forscherin entschied, dass sie ihr Konto löschen wollte, aber sie musste sich zuerst anmelden. Um dies zu tun, ging sie auf die Kontowiederherstellungsseite von Myspace.
Wie Sie im obigen Screenshot sehen können, fragt Myspace nach mehreren persönlichen Informationen, bevor der Zugriff auf ein verlorenes Konto wiederhergestellt wird. Es gibt nur ein Problem: Trotz des Sternchens „Feld erforderlich“ im Textfeld „E-Mail-Adresse“ validiert Myspace die E-Mail-Adresse eines registrierten Benutzers nicht. Das bedeutet, dass ein Benutzer sein Konto nur mit seinem Namen, Benutzernamen und Geburtsdatum wiederherstellen kann.
Einfach, oder? Ein bisschen zu einfach.
Wie sich herausstellt, ist es bei weitem nicht unmöglich, diese drei Daten online zu finden.
Angreifer können eine Google-Suche verwenden, um den Namen und den Benutzernamen eines Myspace-Benutzers online zu finden. (Eine bestimmte Verletzung von Myspace im Jahr 2016 bestätigt verringert die Last dieser beiden Bits von Informationen zu entdecken.) Es könnte schwieriger sein, das Geburtsdatum einer Person zu finden, aber Sie wären überrascht, wie viele Menschen ihre besonderen Tage auf Facebook oder anderen Social-Media-Plattformen auflisten.
Wer diese Informationen eingibt, erhält von Myspace sofortigen Zugriff auf das Konto des registrierten Benutzers.
Galloway traute ihren Augen nicht. Wie sie in einem Blogbeitrag erklärt:
“ Myspace kann nicht mehr als Social-Media-Website relevant sein, aber seine Behandlung der Sicherheit ist so relevant wie eh und je.“
Zur Unterstützung dieser Sichtweise, der Sicherheitsforscher schrieb an Myspace über die Sicherheitsanfälligkeit auf 23 April. Sie hatte bis zum 17. Juli, dem Datum, an dem sie beschloss, die Sicherheitsanfälligkeit offenzulegen, nichts gehört.
Ohne ein Wort von Myspace, das darauf hinweist, dass es beabsichtigt, den Fehler in absehbarer Zeit zu beheben, haben Benutzer, die befürchten, dass jemand auf ihr Konto zugreifen, ihre alten Nachrichten lesen und ihre Informationen missbrauchen könnte, nicht viele Möglichkeiten. Es gibt wirklich nur eine Vorgehensweise: benutzer sollten die Kontowiederherstellung von Myspace nutzen, um wieder auf ihre Konten zuzugreifen und diese anschließend zu löschen. Es ist nicht die optimale Vorgehensweise, aber wenn sich ein Unternehmen nicht um die Datensicherheit seiner Kunden kümmert, gibt es nichts mehr zu tun.
Schande über dich, Myspace, für solch ein anrüchiges Ende …
Für weitere Diskussionen über diesen Vorfall hören Sie sich diese Episode des Podcasts „Smashing Security“ an:
#034: ‚Der Stift ist mächtiger als das Passwort‘
Ihr Browser unterstützt dieses Audioelement nicht.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Hören Sie auf Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | Andere… / RSS
Weitere Folgen…
Weiterführende Literatur: Myspace behebt Konto Sicherheitslücke – aber löschen Sie Ihr Konto trotzdem.
Fanden Sie diesen Artikel interessant? Folgen Sie Graham Cluley auf Twitter, um mehr von den exklusiven Inhalten zu lesen, die wir veröffentlichen.
David Bisson ist ein Infosec-Nachrichtenjunkie und Sicherheitsjournalist. Er arbeitet als Redakteur für Graham Cluley Security News und Associate Editor für Tripwires Blog „The State of Security“.