Для похищения учетной записи достаточно лишь знать имя и дату рождения ее владельца.
Исследователь безопасности Ли-Энн Гэллоуэй (Leigh-Anne Galloway) обнаружила простой способ, позволяющий получить доступ к любой учетной записи MySpace. Как оказалось, для похищения чужого аккаунта достаточно лишь знать имя, на которое он зарегистрирован, имя пользователя и его дату рождения. Исследователь уведомила MySpace о проблеме еще в апреле текущего года. Поскольку администрация соцсети не ответила на сообщение, Гэллоуэй решила предать уязвимость огласке.
Проблема заключается в том, что форма для восстановления пароля учетной записи MySpace запрашивает слишком мало данных для подтверждения личности владельца аккаунта. Для изменения пароля достаточно лишь указать имя и фамилию нужного человека, имя пользователя и дату рождения. Первые два пункта и так видны всем, и злоумышленнику остается лишь узнать дату рождения жертвы. Другие поля в форме рекомендуются к заполнению, но на практике достоверность указанной них информации не проверяется.
В понедельник, 17 июля, администрация MySpace перенаправила URL-адрес для восстановления пароля, и теперь он больше не ведет на уязвимую форму. Решение администрации соцсети закрыть доступ к уязвимой форме свидетельствует о том, что ей известно о проблеме.
Ладно, не доказали. Но мы работаем над этим