0 Compartilhamentos 277 Views

Bug no MySpace permite roubar contas a partir da data de aniversário da vítima

Embora poucos usuários tenham permanecido na rede social MySpace, a recomendação dos especialistas de segurança é: saia o mais rápido possível.

Um bug surpreendente descoberto no site permite que qualquer um, sem conhecimentos de segurança, sequestre uma conta apenas inserindo a data de aniversário da vítima no sistema de recuperação de senha.

A vulnerabilidade existe pelo menos desde Abril deste ano, quando foi encontrada pela pesquisadora de segurança Leigh-Anne Galloway e comunicada ao MySpace. Após meses insistindo para que os administradores corrigissem a falha de segurança, Galloway não recebeu qualquer resposta e decidiu tornar público o problema em seu blog pessoal. Até o momento, o MySpace segue sem se pronunciar oficialmente sobre a questão.

O atual sistema de recuperação de senhas de contas no MySpace solicita quatro dados para dar início ao processo de gerar uma nova senha: nome completo, nome de usuário, endereço de email e data de nascimento. As duas primeiras informações estão disponíveis nas próprias páginas de perfil das contas e Galloway identificou que o sistema não verifica a autenticidade do email. Consequentemente, o único dado que um potencial invasor precisa descobrir é a data de nascimento de sua vítima, o que pode ser obtido com uma pesquisa na web ou engenharia social.

De posse dessa informação, basta inserir os dados autênticos mais um endereço de email qualquer para ser automaticamente autenticado e transferido para uma página que gera uma nova senha. O procedimento padrão mínimo na indústria é enviar um link para o endereço de email associado a conta, mas o MySpace pula essa etapa completamente. Uma vez acessada a conta, é possível trocar o email principal e a data de nascimento, impedindo que o usuário original recupere seu acesso.

“Parece que o MySpace quer que todos nós assumamos a segurança por nós mesmos”, desabafou a pesquisadora. “Se existe uma possibilidade de que você ainda tenha uma conta no MySpace, eu recomendo que você apague sua conta imediatamente”.

Carregando...

Você pode se interessar

Mega Hack 5ª Edição – A última jornada do ano vai começar
Notícias
7 visualizações
Notícias
7 visualizações

Mega Hack 5ª Edição – A última jornada do ano vai começar

Redação - 27 de outubro de 2020

A última edição do maior hackathon online do Brasil está com as inscrições abertas!

Como reduzir o ruido de fundo no microfone com aprendizado de máquina
Dicas
6 visualizações
Dicas
6 visualizações

Como reduzir o ruido de fundo no microfone com aprendizado de máquina

Carlos L. A. da Silva - 27 de outubro de 2020

Krisp é uma ferramenta gratuita que emprega algoritmos de Inteligência Artificial para identificar ruídos em tempo real.

Composer 2.0 está entre nós!
Artigos
8 visualizações
Artigos
8 visualizações

Composer 2.0 está entre nós!

Carlos L. A. da Silva - 26 de outubro de 2020

O melhor gerenciador de pacotes PHP atinge a maturidade com nova versão. Confira o que muda e como atualizar.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Promoções de Jogos do Final de Semana (23/10)
Notícias
20 visualizações
20 visualizações

Promoções de Jogos do Final de Semana (23/10)

Carlos L. A. da Silva - 23 de outubro de 2020
Você precisa conhecer YAML
Artigos
20 visualizações
20 visualizações

Você precisa conhecer YAML

Carlos L. A. da Silva - 20 de outubro de 2020
Promoções de Jogos do Final de Semana (16/10)
Notícias
29 visualizações
29 visualizações

Promoções de Jogos do Final de Semana (16/10)

Carlos L. A. da Silva - 16 de outubro de 2020
Os 7 piores erros de Excel da História
Artigos
30 visualizações
30 visualizações

Os 7 piores erros de Excel da História

Carlos L. A. da Silva - 15 de outubro de 2020