0 Compartilhamentos 245 Views

Bug no MySpace permite roubar contas a partir da data de aniversário da vítima

Embora poucos usuários tenham permanecido na rede social MySpace, a recomendação dos especialistas de segurança é: saia o mais rápido possível.

Um bug surpreendente descoberto no site permite que qualquer um, sem conhecimentos de segurança, sequestre uma conta apenas inserindo a data de aniversário da vítima no sistema de recuperação de senha.

A vulnerabilidade existe pelo menos desde Abril deste ano, quando foi encontrada pela pesquisadora de segurança Leigh-Anne Galloway e comunicada ao MySpace. Após meses insistindo para que os administradores corrigissem a falha de segurança, Galloway não recebeu qualquer resposta e decidiu tornar público o problema em seu blog pessoal. Até o momento, o MySpace segue sem se pronunciar oficialmente sobre a questão.

O atual sistema de recuperação de senhas de contas no MySpace solicita quatro dados para dar início ao processo de gerar uma nova senha: nome completo, nome de usuário, endereço de email e data de nascimento. As duas primeiras informações estão disponíveis nas próprias páginas de perfil das contas e Galloway identificou que o sistema não verifica a autenticidade do email. Consequentemente, o único dado que um potencial invasor precisa descobrir é a data de nascimento de sua vítima, o que pode ser obtido com uma pesquisa na web ou engenharia social.

De posse dessa informação, basta inserir os dados autênticos mais um endereço de email qualquer para ser automaticamente autenticado e transferido para uma página que gera uma nova senha. O procedimento padrão mínimo na indústria é enviar um link para o endereço de email associado a conta, mas o MySpace pula essa etapa completamente. Uma vez acessada a conta, é possível trocar o email principal e a data de nascimento, impedindo que o usuário original recupere seu acesso.

“Parece que o MySpace quer que todos nós assumamos a segurança por nós mesmos”, desabafou a pesquisadora. “Se existe uma possibilidade de que você ainda tenha uma conta no MySpace, eu recomendo que você apague sua conta imediatamente”.

Carregando...

Você pode se interessar

Promoções de Jogos do Final de Semana (07/08)
Notícias
15 visualizações
Notícias
15 visualizações

Promoções de Jogos do Final de Semana (07/08)

Carlos L. A. da Silva - 7 de agosto de 2020

Confira as melhores ofertas de jogos de PC para o final de semana.

Bloqueando robôs do seu site
Artigos
15 visualizações
Artigos
15 visualizações

Bloqueando robôs do seu site

Carlos L. A. da Silva - 6 de agosto de 2020

Nem todo robô que visita seu site é bonzinho como o do Google... aprenda a se defender!

Como encriptar seu dispositivo móvel
Dicas
21 visualizações
Dicas
21 visualizações

Como encriptar seu dispositivo móvel

Carlos L. A. da Silva - 4 de agosto de 2020

Privacidade nunca é demais e ela pode estar na palma da sua mão, sem dificuldades. Aprenda a encriptar dispositivos Android, iOS e até Windows Phone.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Promoções de Jogos do Final de Semana (31/07)
Notícias
24 visualizações
24 visualizações

Promoções de Jogos do Final de Semana (31/07)

Carlos L. A. da Silva - 31 de julho de 2020
Quem está lucrando com os aplicativos de entrega? Ninguém
Artigos
27 visualizações1
27 visualizações1

Quem está lucrando com os aplicativos de entrega? Ninguém

Carlos L. A. da Silva - 28 de julho de 2020
Como ditar um documento (Office, Google Docs, OpenOffice)
Dicas
25 visualizações
25 visualizações

Como ditar um documento (Office, Google Docs, OpenOffice)

Carlos L. A. da Silva - 27 de julho de 2020