Исследователь безопасности Ли-Энн Галлоуэй (Leigh-Anne Galloway) обнаружила крайне простой способ получить доступ к любому аккаунт в социальной сети Myspace. На протяжении нескольких месяцев она пыталась заставить компанию исправить уязвимость, но в итоге отчаялась и опубликовала подробности в своём блоге.
Уязвимость присутствует на странице восстановления аккаунта Myspace. Сервис просит ввести имя, фамилию, почтовый адрес и дату рождения. Но, как выяснилось, чтобы получить доступ к аккаунту, нужно знать только последнее.
Имя и фамилия владельца аккаунта публично доступны на его странице. А правильность введённого почтового адреса, как оказалось, форма восстановления не проверяет. The Verge опробовал баг на аккаунте-пустышке и подтвердил его существование.
theverge.com
Во многих случаях не очень трудно выяснить, когда человек родился. После ввода этой информации вы сможете войти в аккаунт пользователя. Сервис предложит установить новый пароль и даст возможность изменить почту и дату рождения.
Галлоуэй рассказала, что связалась с Myspace в апреле, но так и не получила ответа. «Судя по всему, Myspace хочет, чтобы мы все взяли безопасность в свои руки, — написала она. — Если вдруг у вас ещё есть аккаунт в Myspace, я советую удалить его немедленно».
Сегодня Myspace уже почти никто не пользуется. После того, как сервис был повержен Facebook, он превратился в своеобразный новостной агрегатор с упором на музыку. Предполагалось, что со страниц исполнителей можно будет проигрывать песни, но они почему-то не включались ни в одном браузере. В прошлом году сервис купила Time Inc.
«Myspace — пример небрежного отношения к безопасности, от которого страдают многие сайты; плохого внедрения элементов управления; отсутствия проверки пользовательского ввода и нулевой отчётности», — добавила Галлоуэй.
Источник:
Источник: 3DNews
