Форма для восстановления пароля MySpace позволяет похитить чужой аккаунт
Исследователь безопасности Ли-Энн Гэллоуэй (Leigh-Anne Galloway) обнаружила простой способ, позволяющий получить доступ к любой учетной записи MySpace. Как оказалось, для похищения чужого аккаунта достаточно лишь знать имя, на которое он зарегистрирован, имя пользователя и его дату рождения. Исследователь уведомила MySpace о проблеме еще в апреле текущего года. Поскольку администрация соцсети не ответила на сообщение, Гэллоуэй решила предать уязвимость огласке.
Проблема заключается в том, что форма для восстановления пароля учетной записи MySpace запрашивает слишком мало данных для подтверждения личности владельца аккаунта. Для изменения пароля достаточно лишь указать имя и фамилию нужного человека, имя пользователя и дату рождения. Первые два пункта и так видны всем, и злоумышленнику остается лишь узнать дату рождения жертвы. Другие поля в форме рекомендуются к заполнению, но на практике достоверность указанной них информации не проверяется.
В понедельник, 17 июля, администрация MySpace перенаправила URL-адрес для восстановления пароля, и теперь он больше не ведет на уязвимую форму. Решение администрации соцсети закрыть доступ к уязвимой форме свидетельствует о том, что ей известно о проблеме.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш