hyökkääjän on helppo käyttää kolmea julkisesti saatavilla olevaa tietoa pengotakseen kenen tahansa Myspace-tilin.
tietoturvatutkija Leigh-Anne Galloway törmäsi tähän tietoturvavalvontaan jo huhtikuussa, kun hän törmäsi vanhaan Myspace-tiliinsä. Tutkija päätti, että hän haluaa poistaa tilinsä, mutta hänen piti ensin kirjautua sisään. Sitä varten hän meni Myspacen tilin palautussivulle.
kuten yllä olevasta kuvakaappauksesta näkyy, Myspace pyytää useita henkilökohtaisia tietoja ennen kuin se palauttaa pääsyn kadonneelle tilille. On vain yksi ongelma: huolimatta ”kenttä tarvitaan” asteriski kiinnitetty sähköpostiosoitteen tekstikenttään, Myspace ei vahvista rekisteröityneen käyttäjän sähköpostiosoite. Tämä tarkoittaa käyttäjä voi palauttaa tilinsä vain nimensä, käyttäjätunnus, ja syntymäaika.
helppoa, eikö? Vähän liian helppoa.
käy ilmi, ettei näiden kolmen tiedon löytäminen netistä ole läheskään mahdotonta.
hyökkääjät voivat Google-haun avulla löytää MySpace-käyttäjän nimen ja käyttäjätunnuksen verkosta. (Tietty rikkomus vahvistettu Myspace 2016 vähentää kuormitusta löytää nämä kaksi bittiä tietoa.) Hyökkääjien voi olla vaikeampi löytää jonkun syntymäaika, mutta olisit yllättynyt, kuinka monet ihmiset listaa erityisiä päiviä Facebook tai muut sosiaalisen median alustoilla.
se, joka syöttää nämä tiedot, saa MySpacesta välittömän pääsyn rekisteröidyn käyttäjän tilille.
Galloway ei ollut uskoa silmiään. Kuten hän kertoo blogikirjoituksessaan:
”Myspace ei ehkä ole enää relevantti sosiaalisen median sivustona, mutta sen tietoturvan käsittely on yhtä relevanttia kuin ennenkin.”
tämän näkemyksen tueksi tietoturvatutkija kirjoitti MySpaceen haavoittuvuudesta 23. Hän ei ollut kuullut mitään 17. heinäkuuta mennessä, jolloin hän päätti paljastaa haavoittuvuuden.
ilman sanaakaan MySpacesta, että se aikoo korjata virheen lähiaikoina, käyttäjillä, jotka ovat huolissaan siitä, että joku voisi käyttää heidän tiliään, lukea heidän vanhoja viestejään ja väärinkäyttää heidän tietojaan, ei ole monia vaihtoehtoja. On vain yksi tapa toimia.: käyttäjien tulisi hyödyntää Myspacen tilin palauttamista takaisin ja myöhemmin poistaa tilinsä. Se ei ole optimaalinen toimintatapa, mutta kun yritys ei välitä asiakkaidensa tietoturvasta, ei ole enää mitään tehtävissä.
Shame on you, Myspace, for such a disreputable end …
for further discussion of this incident take a listen to this episode of The ”Smashing Security” podcast:
Smashing Security #034: ”kynä on mahtavampi kuin salasana”
selaimesi ei tue tätä äänielementtiä.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Kuuntele Applen podcasteja | Google podcasteja | Pocket Casts | Spotify / muut… / RSS
lisää jaksoja…
lisätietoja: Myspace korjaa tilin tietoturva – aukon-mutta poista tilisi kuitenkin.
piti tätä artikkelia mielenkiintoisena? Seuraa Graham Cluley Twitterissä lukea lisää yksinoikeudella sisältöä julkaisemme.
David Bisson on infosecin uutisnarkkari ja turvallisuusjournalisti. Hän työskentelee avustavana toimittajana Graham Cluley Security News-lehdessä ja Apulaispäätoimittajana Tripwiren ”the State of Security” – blogissa.