en angripare kan enkelt använda tre bitar av allmänt tillgänglig information till pwn någons Myspace-konto.
säkerhetsforskare Leigh-Anne Galloway kom över denna säkerhetsövervakning tillbaka i April när hon snubblat över ett gammalt Myspace-konto av henne. Forskaren bestämde att hon ville ta bort sitt konto, men hon behövde logga in först. För att göra det gick hon till Myspace kontoåterställningssida.
som du kan se i ovanstående skärmdump, MySpace ber om flera bitar av personlig information innan det kommer att återställa tillgång till ett förlorat konto. Det finns bara ett problem: trots ”fält krävs” asterisk fäst till e-postadress textfältet, MySpace inte validera en registrerad användares e-postadress. Det betyder att en användare kan återställa sitt konto med bara deras namn, användarnamn och födelsedatum.
lätt, eller hur? Lite för lätt.
som det visar sig är det ingenstans nära omöjligt att hitta dessa tre bitar av data online.
angripare kan använda en Google-sökning för att hitta en MySpace-användares namn och användarnamn online. (En viss överträdelse bekräftad av Myspace i 2016 minskar belastningen att upptäcka dessa två bitar av information.) Angripare kan ha svårare att hitta någons födelsedatum, men du skulle bli förvånad över hur många som listar sina speciella dagar på Facebook eller andra sociala medieplattformar.
den som kommer in i den informationen får från Myspace omedelbar åtkomst till den registrerade användarens konto.
Galloway kunde inte tro hennes ögon. Som hon förklarar i ett blogginlägg:
”Myspace kanske inte längre är relevant som en social media-webbplats, men dess behandling av säkerhet är lika relevant som någonsin.”
till stöd för denna synvinkel skrev säkerhetsforskaren till Myspace om sårbarheten den 23 April. Hon hade inte hört någonting från och med den 17 juli, det datum då hon bestämde sig för att avslöja sårbarheten.
utan något ord från Myspace som indikerar att det avser att åtgärda felet när som helst snart, användare som är oroliga för att någon kan komma åt sitt konto, läsa igenom sina gamla meddelanden och missbruka sin information har inte många alternativ. Det finns egentligen bara en handlingsplan: användare bör utnyttja Myspace kontoåterställning för att återfå åtkomst till och därefter ta bort sina konton. Det är inte det optimala tillvägagångssättet, men när ett företag inte bryr sig om sina kunders datasäkerhet finns det inget kvar att göra.
skam på dig, Myspace, för en sådan vanhedrande slut …
för vidare diskussion om denna incident ta en lyssna på denna episod av” Smashing Security ” podcast:
Smashing Security # 034:’pennan är mäktigare än lösenordet’
din webbläsare stöder inte detta ljudelement.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/452588bf-4d54-4df0-811c-1ad38276eaf2.mp3
lyssna på Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | andra… / RSS
fler avsnitt…
vidare läsning: Myspace fixar kontosäkerhetshål – men ta bort ditt konto ändå.
hittade den här artikeln intressant? Följ Graham Cluley på Twitter för att läsa mer av det exklusiva innehållet vi publicerar.
David Bisson är en infosec news junkie och säkerhetsjournalist. Han arbetar som bidragande redaktör för Graham Cluley Security News och biträdande redaktör för tripwires blogg ”the State of Security”.