Un atacante puede usar fácilmente tres piezas de información disponible públicamente para pwnear la cuenta de Myspace de cualquier persona.
La investigadora de seguridad Leigh-Anne Galloway se encontró con este descuido de seguridad en abril cuando se topó con una vieja cuenta suya en Myspace. La investigadora decidió que quería eliminar su cuenta, pero primero tenía que iniciar sesión. Para hacer eso, fue a la página de recuperación de cuenta de Myspace.
Como puede ver en la captura de pantalla anterior, Myspace solicita varios datos personales antes de restaurar el acceso a una cuenta perdida. Solo hay un problema: a pesar del asterisco» campo obligatorio » colocado en el campo de texto de la dirección de correo electrónico, Myspace no valida la dirección de correo electrónico de un usuario registrado. Eso significa que un usuario puede recuperar su cuenta con solo su nombre, nombre de usuario y fecha de nacimiento.
Fácil, ¿verdad? Demasiado fácil.
Resulta que no es imposible encontrar estos tres datos en línea.
Los atacantes pueden usar una búsqueda de Google para encontrar el nombre y el nombre de usuario de un usuario de Myspace en línea. (Una cierta brecha confirmada por Myspace en 2016 disminuye la carga de descubrir estos dos bits de información. Los atacantes pueden tener más dificultades para encontrar la fecha de nacimiento de alguien, pero te sorprendería cuántas personas listan sus días especiales en Facebook u otras plataformas de redes sociales.
Quien ingrese esa información recibe de Myspace acceso instantáneo a la cuenta del usuario registrado.
Galloway no podía creer sus ojos. Como explica en una entrada de blog:
«Es posible que Myspace ya no sea relevante como sitio de redes sociales, pero su tratamiento de la seguridad es tan relevante como siempre.»
En apoyo de este punto de vista, el investigador de seguridad escribió a Myspace sobre la vulnerabilidad el 23 de abril. Hasta el 17 de julio, fecha en que decidió revelar la vulnerabilidad, no había oído nada.
Sin ninguna palabra de Myspace que indique que tiene la intención de corregir el error en el corto plazo, los usuarios que están preocupados de que alguien pueda acceder a su cuenta, leer sus mensajes antiguos y abusar de su información no tienen muchas opciones. Sólo hay un curso de acción: los usuarios deben aprovechar la recuperación de cuentas de Myspace para recuperar el acceso y, posteriormente, eliminar sus cuentas. No es el curso de acción óptimo, pero cuando una empresa no se preocupa por la seguridad de los datos de sus clientes, no queda nada por hacer.
Vergüenza para ti, Myspace, por un fin tan poco confiable
Para más discusión de este incidente, escucha este episodio del podcast» Smashing Security»:
Smashing Security # 034:’El lápiz es más poderoso que la contraseña’
Su navegador no admite este elemento de audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Escucha en Apple Podcasts / Google Podcasts | Pocket Casts | Spotify / Otros… / RSS
Más episodios…
Lectura adicional: Myspace corrige el agujero de seguridad de la cuenta – pero elimina tu cuenta de todos modos.
¿Encontró interesante este artículo? Sigue a Graham Cluley en Twitter para leer más del contenido exclusivo que publicamos.
David Bisson es un adicto a las noticias de infosec y periodista de seguridad. Trabaja como editor colaborador de Graham Cluley Security News y Editor Asociado del blog «The State of Security» de Tripwire.