een aanvaller kan eenvoudig drie stukken openbaar beschikbare informatie gebruiken om iemands Myspace-account te pwn.Beveiligingsonderzoeker Leigh-Anne Galloway kwam dit veiligheidstoezicht tegen in April toen ze een oud Myspace-account van haar tegenkwam. De onderzoeker besloot dat ze haar account wilde verwijderen, maar ze moest eerst inloggen. Om dat te doen, ging ze naar Myspace ‘ s account recovery pagina.
zoals u kunt zien in de bovenstaande schermafbeelding, vraagt Myspace om verschillende stukken persoonlijke informatie voordat het de toegang tot een verloren account zal herstellen. Er is slechts een probleem: ondanks de “veld vereist” asterisk aangebracht op het e-mailadres tekstveld, Myspace niet valideren e-mailadres van een geregistreerde gebruiker. Dat betekent dat een gebruiker zijn account kan herstellen met alleen zijn naam, gebruikersnaam en geboortedatum.
gemakkelijk, toch? Een beetje te makkelijk.
het blijkt dat het lang niet onmogelijk is om deze drie gegevens online te vinden.
aanvallers kunnen een Google-zoekopdracht gebruiken om de naam en gebruikersnaam van een Myspace-gebruiker online te vinden. (Een bepaalde inbreuk bevestigd door Myspace in 2016 vermindert de belasting van het ontdekken van deze twee stukjes informatie.) Aanvallers misschien een moeilijker tijd vinden van iemands geboortedatum, maar je zou verbaasd zijn hoeveel mensen een lijst van hun speciale dagen op Facebook of andere sociale media platforms.
wie deze informatie invoert, krijgt van Myspace onmiddellijk toegang tot het account van de geregistreerde gebruiker.
Galloway kon haar ogen niet geloven. Zoals ze uitlegt in een blog post:
“Myspace is misschien niet langer relevant als social media site, maar de behandeling van de veiligheid is net zo relevant als altijd.”
ter ondersteuning van dit standpunt, de security-onderzoeker schreef naar Myspace over de kwetsbaarheid op 23 April. Zij had niets gehoord vanaf 17 Juli, de datum waarop zij besloot de kwetsbaarheid bekend te maken.
zonder enig woord van Myspace dat aangeeft dat het van plan is om de fout snel op te lossen, hebben gebruikers die bezorgd zijn dat iemand toegang kan krijgen tot hun account, hun oude berichten kan lezen en hun informatie kan misbruiken niet veel opties. Er is eigenlijk maar één manier van handelen: gebruikers moeten gebruikmaken van Myspace ‘ s account recovery om opnieuw toegang te krijgen tot en vervolgens hun accounts te verwijderen. Het is niet de optimale manier van handelen, maar als een bedrijf niet de zorg over de beveiliging van hun klanten, Er is niets meer te doen.
Shame on you, Myspace, for such a disreputable end …
voor verdere bespreking van dit incident neem een kijkje op deze aflevering van de “Smashing Security” podcast:
Smashing Security # 034:’de pen is machtiger dan het wachtwoord’
uw browser ondersteunt dit audio-element niet.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
luisteren op Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | andere… / RSS
meer afleveringen…
verder lezen: Myspace repareert het beveiligingsgat van uw account – maar verwijder uw account toch.
vond u dit artikel interessant? Volg Graham Cluley op Twitter om meer te lezen van de exclusieve content die we plaatsen.
David Bisson is een InfoSec nieuws junkie en veiligheidsjournalist. Hij werkt als redacteur voor Graham Cluley Security News en Associate Editor voor Tripwire ‘ s “the State of Security” blog.