un atacator poate folosi cu ușurință trei bucăți de informații disponibile publicului la contul Myspace pwn oricine.
cercetătoarea de securitate Leigh-Anne Galloway a dat peste această supraveghere de securitate în aprilie, când a dat peste un vechi cont Myspace al ei. Cercetătorul a decis că vrea să-și șteargă contul, dar trebuia să se conecteze mai întâi. Pentru a face acest lucru, ea a mers la pagina de recuperare a contului Myspace.
după cum puteți vedea în captura de ecran de mai sus, Myspace solicită mai multe informații personale înainte de a restabili accesul la un cont pierdut. Există o singură problemă: fără a aduce atingere asteriscului „câmp obligatoriu” aplicat pe câmpul de text al adresei de e-mail, Myspace nu validează adresa de e-mail a unui utilizator înregistrat. Asta înseamnă că un utilizator își poate recupera contul doar cu numele, numele de utilizator și data nașterii.
ușor, nu? Un pic prea ușor.
după cum se dovedește, nu este nici pe departe imposibil să găsești aceste trei bucăți de date online.
atacatorii pot folosi o căutare Google pentru a găsi online numele și numele de utilizator al unui utilizator Myspace. (O anumită încălcare confirmată de Myspace în 2016 diminuează sarcina de a descoperi aceste două biți de informații. Atacatorii ar putea avea o perioadă mai dificilă de a găsi data nașterii cuiva, dar ai fi surprins de cât de mulți oameni își listează zilele speciale pe Facebook sau pe alte platforme de socializare.
oricine introduce aceste informații primește de la Myspace acces instantaneu la contul utilizatorului înregistrat.
Galloway nu-i venea să creadă ochilor. După cum explică într-o postare pe blog:
„Myspace nu mai poate fi relevant ca un site de social media, dar tratamentul său de securitate este la fel de relevant ca niciodată.”
în sprijinul acestui punct de vedere, cercetătorul de securitate a scris Myspace despre vulnerabilitate pe 23 aprilie. Nu auzise nimic din 17 iulie, data la care a decis să dezvăluie vulnerabilitatea.
fără niciun cuvânt din Myspace care să indice că intenționează să remedieze defectul în curând, utilizatorii care sunt îngrijorați că cineva ar putea accesa contul lor, citi mesajele vechi și abuza de informațiile lor nu au multe opțiuni. Există într-adevăr doar un singur curs de acțiune: utilizatorii ar trebui să utilizeze recuperarea contului Myspace pentru a recâștiga accesul și, ulterior, pentru a-și șterge conturile. Nu este cursul optim de acțiune, dar atunci când o companie nu-i pasă de securitatea datelor clienților lor, nu mai rămâne nimic de făcut.
rușine pe tine, Myspace, pentru un astfel de final infam …
pentru discuții suplimentare de acest incident să ia o asculta acest episod de” Smashing securitate ” podcast:
Smashing Security # 034:’stiloul este mai puternic decât parola’
browserul dvs. nu acceptă acest element audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
ascultați pe podcasturile Apple | podcasturile Google | Pocket Casts | Spotify | altele… / RSS
mai multe episoade…
lectură suplimentară: Myspace remediază gaura de securitate a contului – dar ștergeți contul oricum.
a găsit acest articol interesant? Urmăriți-l pe Graham Cluley pe Twitter pentru a citi mai multe din conținutul exclusiv pe care îl postăm.
David Bisson este un InfoSec știri Drogat și jurnalist de securitate. Lucrează ca editor colaborator pentru Graham Cluley Security News și Editor asociat pentru blogul „the State of Security” al lui Tripwire.