Исследователь безопасности Ли-Энн Гэллоуэй обнаружила совершенно простой способ кражи чужого аккаунта MySpace. Для этого достаточно знать имя, на которое он зарегистрирован, имя пользователя и дату его рождения.
Исследователь обнаружила проблему еще весной, о чем уведомила MySpace. Но так как в течение нескольких месяцев администрация соцсети на сообщение Гэллоуэй никак не реагировала, эксперт решила сообщить об этом во всеуслышание.
Проблема заключается в том, что форма для восстановления пароля учетной записи MySpace запрашивает слишком мало данных для подтверждения личности владельца аккаунта. Чтобы изменить пароль, достаточно указать имя и фамилию нужного человека, имя пользователя и дату рождения. Все это – очень примитивные вопросы, потому как первые два пункта и так видны всем пользователям. Получается, что злоумышленнику нужно узнать только дату рождения потенциальной жертвы. При этом в форме предусмотрены и другие поля, однако по факту достоверность указанной в них информации не проверяется.
В понедельник, 17 июля, администрация MySpace наконец-то отреагировала на обнародованную проблему и перенаправила URL-адрес для восстановления пароля – теперь он больше не ведет на уязвимую форму. Однако всем пользователям MySpace стоит взять данную информацию на заметку и в целях безопасности сменить текущий пароль.
Источник: http://www.securitylab.ru/
