彼らは驚くほど簡単に” width=”730″ height=”380″ class=”aligncenter”>
攻撃者は誰かのMyspaceアカウントをpwnするために公開されている情報の三つの部分を簡単に使用することができます。
セキュリティ研究員Leigh-Anne Gallowayは、彼女が彼女の古いMyspaceアカウントに遭遇した4月に、このセキュリティ監視に遭遇しました。 研究者は自分のアカウントを削除したいと決めましたが、最初にサインインする必要がありました。 それを行うには、彼女はMyspaceのアカウントの回復ページに行ってきました。
上記のスクリーンショットでわかるように、Myspaceは失われたアカウントへのアクセスを復元する前に、いくつかの個人情報を要求します。 ただ一つの問題があります:メールアドレスのテキストフィールドに貼付された”フィールドが必要”アスタリスクにもかかわらず、Myspaceは、登録ユーザーの電子メー つまり、ユーザーは名前、ユーザー名、生年月日だけでアカウントを回復できます。
簡単ですよね? 少し簡単すぎます。
結局のところ、これらの3つのデータをオンラインで見つけることは不可能に近いところではありません。
攻撃者はGoogle検索を使用して、Myspaceユーザーの名前とユーザー名をオンラインで見つけることができます。 (2016年にMyspaceによって確認された特定の違反は、情報のこれら二つのビットを発見する負荷を軽減します。)攻撃者は、誰かの生年月日を見つけるのがより困難な時期を持っているかもしれませんが、あなたはFacebookや他のソーシャルメディアプラットフォーム上で彼らの特別な日をリストどのように多くの人々が驚かれるだろう。
その情報を入力した人は、Myspaceから登録ユーザーのアカウントに瞬時にアクセスします。
ギャロウェイは彼女の目を信じられなかった 彼女はブログの記事で説明しているように:
“Myspaceは、もはやソーシャルメディアサイトとして関連していないかもしれないが、セキュリティのその治療は、これまでと同じくらい関連しています。”
この観点を支持するために、セキュリティ研究者は4月23日に脆弱性についてMyspaceに手紙を書きました。 彼女は7月17日の時点で何も聞いておらず、脆弱性を開示することを決定した日でした。
Myspaceがすぐに欠陥を修正しようとしていることを示す言葉がなければ、誰かが自分のアカウントにアクセスし、古いメッセージを読んで、自分の情報を悪用する可能性があることを懸念しているユーザーには、多くの選択肢はありません。 実際には一つの行動コースしかありません: ユーザーはへのアクセスを回復し、その後自分のアカウントを削除するためにMyspaceのアカウントの回復を活用する必要があります。 これは最適な行動方針ではありませんが、企業が顧客のデータセキュリティを気にしない場合、何もする必要はありません。
この事件のさらなる議論については、”Smashing Security”ポッドキャストのこのエピソードを聴くことをお勧めします。
この事件の詳細については、”Smashing Security”podcastのこのエピソードを聞いてください:
Smashing Security#034:’the pen is mightier than the password’
お使いのブラウザはこのオーディオ要素をサポートしていません。https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Apple Podcasts|Google Podcasts|Pocket Casts|Spotify|その他で聴くことができます。.. /RSS
より多くのエピソード。..
続きを読む:Myspaceはアカウントのセキュリティホールを修正しました–しかし、とにかくアカウントを削除します。
この記事が面白いと思いましたか? 私たちが投稿する排他的なコンテンツの詳細を読むためにTwitterでグラハム*クラリーに従ってく
David Bissonはインフォセックニュースジャンキーでセキュリティジャーナリストです。 彼はGraham Cluley Security Newsの寄稿編集者とTripwireの「The State of Security」ブログの副編集者として働いています。