2017/07/17

Contas do MySpace à distância de uma data de nascimento


O MySpace será hoje uma distante memória dos tempos da internet pré-histórica (a par do geocities), mas mais preocupante será o facto de qualquer pessoa, com facilidade poder apoderar-se de qualquer uma das contas dos seus utilizadores, precisando apenas de uma data de nascimento.

O processo de recuperação de contas/passwords é muitas vezes uma das maiores vulnerabilidades de um site ou serviço, e infelizmente o MySpace salta directamente para o topo da lista dos maus exemplos.

Esperar-se-ia que o processo de recuperação de uma conta protegesse o legítimo utilizador de outros indivíduos que tentassem utilizar esse sistema para se apoderarem da sua conta. No entanto, no caso do MySpace, basta que um atacante saiba o nome da pessoa e nome de utilizador (informação publicamente disponível no próprio site do MySpace, no perfil do utilizador) e a sua data de nascimento.

O que se torna mais caricato é que o formulário de recuperação de conta pede muita mais informação, como a morada, etc. mas que embora seja indicada como sendo "obrigatória", é completamente dispensável. Bastam os três campos indicados - com a data de nascimento a ser algo que facilmente se poderá obter nas redes sociais (ou, em último caso, fazendo-se 365 tentativas) para que se consiga ter acesso imediato a qualquer conta que se deseje, permitindo alterar o email associado à conta, password, e até a própria data de nascimento.

... Um péssimo exemplo que não pode ser desculpado pelo facto de ser um site "obsoleto" ou que já poucos utilizam...


Actualização: o MySpace já corrigiu esta vulnerabilidade... Nada como revelar os problemas publicamente, para aquilo que durante meses foi ignorado ter direito a tratamento de urgência.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]