atakujący może łatwo użyć trzech publicznie dostępnych informacji na koncie MySpace.
badaczka bezpieczeństwa Leigh-Anne Galloway natknęła się na to naruszenie bezpieczeństwa w kwietniu, kiedy natknęła się na jej stare konto na Myspace. Badaczka zdecydowała, że chce usunąć swoje konto, ale najpierw musiała się zalogować. Aby to zrobić, weszła na stronę odzyskiwania konta Myspace.
jak widać na powyższym zrzucie ekranu, Myspace prosi o kilka informacji osobistych, zanim przywróci dostęp do utraconego konta. Jest tylko jeden problem: niezależnie od gwiazdki” pole wymagane ” umieszczonej w polu tekstowym adresu e-mail, Myspace nie weryfikuje adresu e-mail zarejestrowanego użytkownika. Oznacza to, że użytkownik może odzyskać swoje konto, podając tylko swoje imię, nazwę użytkownika i datę urodzenia.
spokojnie, prawda? Trochę za łatwo.
jak się okazuje, nie jest prawie niemożliwe, aby znaleźć te trzy kawałki danych w Internecie.
(Pewne naruszenie potwierdzone przez Myspace w 2016 roku zmniejsza obciążenie odkrywaniem tych dwóch bitów informacji.) Napastnicy mogą mieć trudniejsze znalezienie czyjejś daty urodzenia, ale zdziwiłbyś się, ile osób wymienia swoje specjalne dni na Facebooku lub innych platformach społecznościowych.
ktokolwiek wprowadzi te informacje, otrzymuje z Myspace natychmiastowy dostęp do konta zarejestrowanego użytkownika.
Galloway nie mogła uwierzyć własnym oczom. Jak wyjaśnia w poście na blogu:
„Myspace może nie być już odpowiedni jako strona społecznościowa, ale jego podejście do bezpieczeństwa jest równie istotne jak zawsze.”
na poparcie tego punktu widzenia, badacz bezpieczeństwa napisał do Myspace o luce w zabezpieczeniach w dniu 23 kwietnia. Nie słyszała nic od dnia 17 lipca, w którym zdecydowała się ujawnić lukę.
bez żadnego słowa z Myspace wskazującego, że zamierza naprawić wadę w najbliższym czasie, użytkownicy, którzy obawiają się, że ktoś może uzyskać dostęp do ich konta, czytać ich stare wiadomości i nadużywać ich informacji, nie mają wielu opcji. Jest tylko jeden sposób działania.: użytkownicy powinni wykorzystać Odzyskiwanie konta Myspace, aby odzyskać dostęp do swoich kont, a następnie je usunąć. Nie jest to optymalny sposób działania, ale kiedy firma nie dba o bezpieczeństwo danych swoich klientów, nie ma nic do zrobienia.
wstydź się, Myspace, za tak nikczemny koniec…
w celu dalszej dyskusji na temat tego incydentu posłuchaj tego odcinka podcastu „Smashing Security”:
Smashing Security # 034: „pióro jest potężniejsze niż hasło”
twoja przeglądarka nie obsługuje tego elementu audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Słuchaj na Apple Podcasts / Google Podcasts / Pocket / Spotify / Inne… / RSS
więcej odcinków…
Czytaj dalej: Myspace naprawia dziurę bezpieczeństwa konta – ale i tak usuń swoje konto.
czy ten artykuł jest interesujący? Obserwuj Graham Cluley na Twitterze, aby przeczytać więcej ekskluzywnych treści, które publikujemy.
David Bisson jest narkomanem i dziennikarzem ds. bezpieczeństwa. Pracuje jako redaktor współpracujący dla Graham Cluley Security News i redaktor pomocniczy bloga Tripwire „the State of Security”.