Форма для восстановления пароля MySpace позволяет похитить чужой аккаунт

Форма для восстановления пароля MySpace позволяет похитить чужой аккаунт

Для похищения учетной записи достаточно лишь знать имя и дату рождения ее владельца.

image

Исследователь безопасности Ли-Энн Гэллоуэй (Leigh-Anne Galloway) обнаружила простой способ, позволяющий получить доступ к любой учетной записи MySpace. Как оказалось, для похищения чужого аккаунта достаточно лишь знать имя, на которое он зарегистрирован, имя пользователя и его дату рождения. Исследователь уведомила MySpace о проблеме еще в апреле текущего года. Поскольку администрация соцсети не ответила на сообщение, Гэллоуэй решила предать уязвимость огласке.

Проблема заключается в том, что форма для восстановления пароля учетной записи MySpace запрашивает слишком мало данных для подтверждения личности владельца аккаунта. Для изменения пароля достаточно лишь указать имя и фамилию нужного человека, имя пользователя и дату рождения. Первые два пункта и так видны всем, и злоумышленнику остается лишь узнать дату рождения жертвы. Другие поля в форме рекомендуются к заполнению, но на практике достоверность указанной них информации не проверяется.

В понедельник, 17 июля, администрация MySpace перенаправила URL-адрес для восстановления пароля, и теперь он больше не ведет на уязвимую форму. Решение администрации соцсети закрыть доступ к уязвимой форме свидетельствует о том, что ей известно о проблеме.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle