um atacante pode facilmente usar três peças de informações publicamente disponíveis para pwn conta Myspace de qualquer pessoa.A pesquisadora de segurança Leigh-Anne Galloway se deparou com essa supervisão de segurança em abril, quando se deparou com uma antiga conta do Myspace dela. A pesquisadora decidiu que queria excluir sua conta, mas precisava fazer login primeiro. Para fazer isso, ela foi para a página de recuperação de conta do Myspace.
como você pode ver na captura de tela acima, o Myspace pede várias informações pessoais antes de restaurar o acesso a uma conta perdida. Há apenas um problema: não obstante o asterisco “campo obrigatório” afixado no campo de texto do endereço de E-mail, o Myspace não valida o endereço de e-mail de um usuário registrado. Isso significa que um usuário pode recuperar sua conta apenas com seu nome, nome de usuário e data de nascimento.
fácil, certo? Um pouco fácil demais.
como se vê, não é nem de longe impossível encontrar esses três dados online.
os invasores podem usar uma pesquisa do Google para encontrar o nome de usuário e o nome de usuário do Myspace online. (Uma certa violação confirmada pelo Myspace em 2016 diminui a carga de descobrir esses dois bits de informação. Os atacantes podem ter mais dificuldade em encontrar a data de nascimento de alguém, mas você ficaria surpreso com quantas pessoas listam seus dias especiais no Facebook ou em outras plataformas de mídia social.
quem entra nessa informação recebe do Myspace acesso instantâneo à conta do usuário registrado.
Galloway não podia acreditar em seus olhos. Como ela explica em um post no blog:
“o Myspace pode não ser mais relevante como um site de mídia social, mas seu tratamento da segurança é tão relevante como sempre.”
em apoio a esse ponto de vista, o Pesquisador de segurança escreveu ao Myspace sobre a vulnerabilidade em 23 de abril. Ela não tinha ouvido nada a partir de 17 Julho, a data em que ela decidiu divulgar a vulnerabilidade.
sem qualquer palavra do Myspace indicando que pretende corrigir a falha em breve, os usuários que estão preocupados que alguém possa acessar sua conta, ler suas mensagens antigas e abusar de suas informações não têm muitas opções. Há realmente apenas um curso de ação: os usuários devem aproveitar a recuperação da conta do Myspace para recuperar o acesso e, posteriormente, excluir suas contas. Não é o curso ideal de ação, mas quando uma empresa não se importa com a segurança de dados de seus clientes, não há mais nada a fazer.
vergonha para você, Myspace, por um fim tão desconcertante…
para uma discussão mais aprofundada deste incidente, ouça este episódio do podcast” Smashing Security”:
Smashing Security # 034:’a caneta é mais poderosa que a senha’
seu navegador não suporta este elemento de áudio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
Ouça em Apple Podcasts / Google Podcasts / Pocket Casts / Spotify / outros… / RSS
mais episódios…
Leitura Adicional: o Myspace corrige a falha de segurança da conta-mas exclua sua conta de qualquer maneira.
achou este artigo interessante? Siga Graham Cluley no Twitter para ler mais sobre o conteúdo exclusivo que postamos.
David Bisson é um viciado em notícias e Jornalista de segurança da infosec. Ele trabalha como editor colaborador do Graham Cluley Security News e Editor Associado do Blog “The State of Security” da Tripwire.