Un utente malintenzionato può facilmente utilizzare tre pezzi di informazioni pubblicamente disponibili per pwn account Myspace di nessuno.
La ricercatrice di sicurezza Leigh-Anne Galloway si è imbattuta in questa svista di sicurezza ad aprile quando si è imbattuta in un suo vecchio account Myspace. Il ricercatore ha deciso che voleva eliminare il suo account, ma aveva bisogno di accedere prima. Per farlo, è andata alla pagina di recupero dell’account di Myspace.
Come si può vedere nello screenshot qui sopra, Myspace chiede per diversi pezzi di informazioni personali prima che ripristinerà l’accesso a un account perso. C’è solo un problema: nonostante l’asterisco “campo obbligatorio” apposto nel campo di testo dell’indirizzo e-mail, Myspace non convalida l’indirizzo e-mail di un utente registrato. Ciò significa che un utente può recuperare il proprio account con solo il loro nome, nome utente e data di nascita.
Facile, giusto? Un po ‘ troppo facile.
A quanto pare, non è affatto impossibile trovare questi tre dati online.
Gli aggressori possono utilizzare una ricerca su Google per trovare il nome e il nome utente di un utente Myspace online. (Una certa violazione confermata da Myspace nel 2016 riduce il carico di scoprire questi due bit di informazioni.) Gli aggressori potrebbero avere più difficoltà a trovare la data di nascita di qualcuno, ma saresti sorpreso di quante persone elencano i loro giorni speciali su Facebook o altre piattaforme di social media.
Chi entra in tali informazioni riceve da Myspace l’accesso istantaneo all’account dell’utente registrato.
Galloway non riusciva a credere ai suoi occhi. Come spiega in un post sul blog:
“Myspace potrebbe non essere più rilevante come un sito di social media, ma il suo trattamento di sicurezza è rilevante come sempre.”
A sostegno di questo punto di vista, il ricercatore di sicurezza ha scritto a Myspace circa la vulnerabilità il 23 aprile. Non aveva sentito nulla a partire dal 17 luglio, la data in cui ha deciso di rivelare la vulnerabilità.
Senza alcuna parola da Myspace che indica che intende risolvere il difetto in qualunque momento presto, gli utenti che sono preoccupati che qualcuno potrebbe accedere al proprio account, leggere i loro vecchi messaggi, e abusare delle loro informazioni non hanno molte opzioni. C’è davvero solo una linea d’azione: gli utenti dovrebbero sfruttare il recupero dell’account di Myspace per riguadagnare l’accesso e successivamente eliminare i loro account. Non è la linea di condotta ottimale, ma quando un’azienda non si preoccupa della sicurezza dei dati dei propri clienti, non c’è più nulla da fare.
Vergogna su di voi, Myspace, per una fine così poco raccomandabile
Per ulteriori discussioni su questo incidente prendere un ascoltare questo episodio del podcast “Smashing Security” :
Smashing Security # 034: ‘La penna è più potente della password’
Il tuo browser non supporta questo elemento audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Ascolta su Apple Podcast / Google Podcast | Pocket Cast | Spotify / Altro… / RSS
Altri episodi…
Ulteriori letture: Myspace risolve il buco di sicurezza dell’account, ma elimina comunque il tuo account.
Trovato questo articolo interessante? Segui Graham Cluley su Twitter per saperne di più dei contenuti esclusivi che pubblichiamo.
David Bisson è un drogato di notizie infosec e giornalista di sicurezza. Lavora come redattore per Graham Cluley Security News e redattore associato per il blog “The State of Security” di Tripwire.