Un attaquant peut facilement utiliser trois informations accessibles au public pour pirater le compte Myspace de n’importe qui.
Leigh-Anne Galloway, chercheuse en sécurité, est tombée sur cette surveillance de la sécurité en avril lorsqu’elle est tombée sur un vieux compte Myspace de la sienne. La chercheuse a décidé qu’elle voulait supprimer son compte, mais elle devait d’abord se connecter. Pour ce faire, elle est allée sur la page de récupération de compte Myspace.
Comme vous pouvez le voir dans la capture d’écran ci-dessus, Myspace demande plusieurs informations personnelles avant de restaurer l’accès à un compte perdu. Il n’y a qu’un problème: malgré l’astérisque « champ requis » apposé sur le champ de texte de l’adresse e-mail, Myspace ne valide pas l’adresse e-mail d’un utilisateur enregistré. Cela signifie qu’un utilisateur peut récupérer son compte avec uniquement son nom, son nom d’utilisateur et sa date de naissance.
Facile, non? Un peu trop facile.
Il s’avère qu’il est loin d’être impossible de trouver ces trois données en ligne.
Les attaquants peuvent utiliser une recherche Google pour trouver le nom et le nom d’utilisateur d’un utilisateur Myspace en ligne. (Une certaine brèche confirmée par Myspace en 2016 diminue la charge de découverte de ces deux informations.) Les attaquants pourraient avoir plus de mal à trouver la date de naissance de quelqu’un, mais vous seriez surpris du nombre de personnes qui listent leurs journées spéciales sur Facebook ou d’autres plateformes de médias sociaux.
Celui qui entre ces informations reçoit de Myspace un accès instantané au compte de l’utilisateur enregistré.
Galloway n’en croyait pas ses yeux. Comme elle l’explique dans un billet de blog:
» Myspace n’est peut-être plus pertinent en tant que site de médias sociaux, mais son traitement de la sécurité est toujours aussi pertinent. »
À l’appui de ce point de vue, le chercheur en sécurité a écrit à Myspace sur la vulnérabilité le 23 avril. Elle n’avait rien entendu au 17 juillet, date à laquelle elle a décidé de révéler la vulnérabilité.
Sans aucun mot de Myspace indiquant qu’il a l’intention de corriger la faille de sitôt, les utilisateurs qui craignent que quelqu’un puisse accéder à leur compte, lire leurs anciens messages et abuser de leurs informations n’ont pas beaucoup d’options. Il n’y a vraiment qu’un seul plan d’action: les utilisateurs doivent tirer parti de la récupération de compte Myspace pour retrouver l’accès à leurs comptes et les supprimer ultérieurement. Ce n’est pas le plan d’action optimal, mais lorsqu’une entreprise ne se soucie pas de la sécurité des données de ses clients, il n’y a plus rien à faire.
Honte à vous, Myspace, pour une fin aussi peu recommandable
Pour plus de discussion sur cet incident, écoutez cet épisode du podcast « Smashing Security »:
Sécurité fracassante #034: ‘Le stylo est plus puissant que le mot de passe’
Votre navigateur ne prend pas en charge cet élément audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Écoutez sur Apple Podcasts / Google Podcasts | Pocket Casts | Spotify | Autres… /RSS
Plus d’épisodes…
Pour en savoir plus: Myspace corrige le trou de sécurité du compte – mais supprimez quand même votre compte.
Cet article vous a-t-il trouvé intéressant ? Suivez Graham Cluley sur Twitter pour en savoir plus sur le contenu exclusif que nous publions.
David Bisson est un drogué de l’info infosec et journaliste de sécurité. Il travaille comme rédacteur en chef pour Graham Cluley Security News et rédacteur en chef adjoint du blog « The State of Security » de Tripwire.