a támadó három nyilvánosan elérhető információt könnyen felhasználhat bárki Myspace-fiókjához.
Leigh-Anne Galloway biztonsági kutató áprilisban találkozott ezzel a biztonsági felügyelettel, amikor egy régi Myspace-fiókjába botlott. A kutató úgy döntött, hogy törölni akarja a fiókját, de először be kellett jelentkeznie. Ehhez elment a Myspace fiók-helyreállítási oldalára.
amint a fenti képernyőképen látható, a Myspace több személyes adatot kér, mielőtt visszaállítja az elveszett fiókhoz való hozzáférést. Csak egy probléma van: az e-mail cím szövegmezőjében elhelyezett “mező szükséges” csillag ellenére a Myspace nem érvényesíti a regisztrált felhasználó e-mail címét. Ez azt jelenti, hogy a felhasználó csak a nevével, felhasználónevével és születési dátumával állíthatja vissza fiókját.
könnyű, ugye? Egy kicsit túl könnyű.
mint kiderült, közel sem lehetetlen megtalálni ezt a három adatot az interneten.
a támadók a Google keresésével megkereshetik a Myspace felhasználó nevét és felhasználónevét az interneten. (A Myspace által 2016-ban megerősített bizonyos jogsértés csökkenti a két információ felfedezésének terhelését.) A támadóknak nehezebb lehet megtalálni valaki születési dátumát, de meglepődne, hogy hány ember sorolja fel különleges napjait a Facebook-on vagy más közösségi média platformokon.
aki beírja ezt az információt, a Myspace-től azonnali hozzáférést kap a regisztrált felhasználó fiókjához.
Galloway nem hitt a szemének. Ahogy egy blogbejegyzésben elmagyarázza:
“lehet, hogy a Myspace már nem releváns közösségi média webhelyként, de a biztonság kezelése ugyanolyan releváns, mint valaha.”
ennek alátámasztására a biztonsági kutató április 23-án írt a MySpace-nek a sebezhetőségről. Július 17-től nem hallott semmit, amikor úgy döntött, hogy nyilvánosságra hozza a sebezhetőséget.
anélkül, hogy a Myspace bármilyen szava jelezné, hogy a hibát hamarosan meg kívánja javítani, azoknak a felhasználóknak, akik attól tartanak, hogy valaki hozzáférhet a fiókjához, elolvashatja a régi üzeneteiket, és visszaélhet az adataikkal, nincs sok lehetőségük. Valójában csak egy cselekvési mód van: a felhasználóknak ki kell használniuk a Myspace fiókjának helyreállítását, hogy visszanyerjék a hozzáférést, majd töröljék fiókjaikat. Ez nem az optimális cselekvési mód, de ha egy vállalat nem törődik ügyfelei adatbiztonságával, akkor nincs mit tenni.
szégyelld magad, Myspace, egy ilyen rossz hírű vége…
további vita az eset, hogy egy hallgatni ezt az epizódot a” Smashing Security ” podcast:
Smashing Security # 034:’a toll erősebb, mint a jelszó’
az Ön böngészője nem támogatja ezt a hangelemet.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Hallgassa meg az Apple podcastokat | Google podcastokat | Pocket Casts | Spotify | Egyéb… / RSS
további epizódok…
További olvasmány: A Myspace javítja a fiók biztonsági rését – de mindenképpen törölje fiókját.
érdekesnek találta ezt a cikket? Kövesse Graham Cluley-t a Twitteren, hogy többet olvasson az általunk közzétett exkluzív tartalomról.
David Bisson infosec híradós és biztonsági újságíró. A Graham Cluley Security News közreműködő szerkesztőjeként és a Tripwire “the State of Security” blogjának Társszerkesztőjeként dolgozik.