en angriper kan enkelt bruke tre deler av offentlig tilgjengelig informasjon til pwn noens Myspace-konto.
sikkerhetsforsker Leigh-Anne Galloway kom over dette sikkerhetstilsynet tilbake i April da hun snublet over en gammel Myspace-konto av henne. Forskeren bestemte seg for at hun ønsket å slette kontoen sin, men hun måtte logge på først. For å gjøre det, gikk hun Til Myspace konto utvinning siden.
Som du kan se i skjermbildet ovenfor, myspace ber om flere biter av personlig informasjon før det vil gjenopprette tilgang til en tapt konto. Det er bare ett problem: til tross for» feltet kreves » stjerne festet til tekstfeltet e-postadresse, myspace ikke validere en registrert brukers e-postadresse. Det betyr at en bruker kan gjenopprette sin konto med bare deres navn, brukernavn, og fødselsdato.
Lett, ikke Sant? Litt for lett.
Som det viser seg, er det ikke nær umulig å finne disse tre dataene på nettet.
Angripere kan bruke Et Google-søk for å finne Navnet Og brukernavnet til En Myspace-Bruker på nettet. (Et visst brudd bekreftet Av Myspace i 2016 reduserer belastningen med å oppdage disse to biter av informasjon. Angripere kan ha en vanskeligere tid å finne noens fødselsdato, men du vil bli overrasket over hvor mange som lister sine spesielle dager på Facebook eller andre sosiale medier.
Den som oppgir denne informasjonen, mottar øyeblikkelig tilgang til Den registrerte brukerens konto Fra Myspace.
Galloway kunne ikke tro sine egne øyne. Som hun forklarer i et blogginnlegg:
«Myspace kan ikke lenger være relevant som et sosialt medieområde, men behandlingen av sikkerhet er like relevant som noen gang.»
til støtte for dette synspunktet skrev sikkerhetsforskeren Til Myspace om sårbarheten 23. April. Hun hadde ikke hørt noe som av 17 juli, datoen da hun bestemte seg for å avsløre sårbarheten.
uten noe ord Fra Myspace som indikerer at Det har til hensikt å fikse feilen når som helst snart, har brukere som er bekymret for at noen kan få tilgang til kontoen sin, lese gjennom sine gamle meldinger og misbruke informasjonen deres, ikke mange alternativer. Det er egentlig bare ett handlingsforløp: brukere bør utnytte Myspace konto utvinning å gjenvinne tilgang til og deretter slette sine kontoer. Det er ikke det optimale handlingsforløpet, men når et selskap ikke bryr seg om kundenes datasikkerhet, er det ingenting igjen å gjøre.
Skam deg, Myspace, for en slik useriøs slutt…
for videre diskusjon av denne hendelsen ta en lytt til denne episoden av» Smashing Security «podcast:
Smashing Security # 034:’ pennen er mektigere enn passordet ‘
nettleseren din støtter ikke dette lydelementet.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Lytt på Apple Podcasts / Google Podcasts / Pocket Casts / Spotify | Annet… / RSS
Flere episoder…
Videre lesing: Myspace løser kontosikkerhetshull – men slett kontoen din uansett.
Fant denne artikkelen interessant? Følg Graham Cluley På Twitter for å lese mer av det eksklusive innholdet vi legger ut.
David Bisson Er en infosec nyhetsjunkie og sikkerhetsjournalist. Han jobber Som Medvirkende Redaktør For Graham Cluley Security News og Assisterende Redaktør For Tripwires» The State Of Security » – blogg.