MySpace: vecchi account si potevano bucare conoscendo la data di nascita

MySpace: vecchi account si potevano bucare conoscendo la data di nascita

Uno dei social network più utilizzati negli anni passati ha avuto un bug di sicurezza piuttosto grave che avrebbe permesso ad un "aggressore" di accedere ad ogni account conoscendo la data di nascita del possessore

di pubblicata il , alle 15:01 nel canale Sicurezza
 

Se non hai ancora cancellato il tuo vecchio account MySpace, e questo vaga ancora nei meandri di internet, potrebbe essere arrivato il momento di farlo. Il pericolo è stato appena scongiurato dalla società, ma per un lungo periodo di tempo è stato semplicissimo bucare i vari account del servizio. A rivelare l'opportunità è stata Leigh-Anne Galloway, ricercatrice di sicurezza che ha pubblicato i dettagli della vulnerabilità sul blog personale dopo mesi di tentativi in cui ha cercato di convincere i tecnici della società a sistemare il problema.

Solo dopo che la vulnerabilità è stata diffusa sul web Viant (la società che si occupa del servizio) è scesa in campo per rimuoverla. Il problema nella sicurezza derivava dalla pagina di recupero dell'account, che consentiva agli utenti che avevano perso le credenziali di accesso conoscendo un numero minimo di informazioni personali. La pagina chiedeva il nome dell'utente, l'username, l'indirizzo e-mail originale e la data di nascita. La ricercatrice ha però scoperto che in realtà era sufficiente conoscere solo l'ultimo dettaglio per guadagnare l'accesso!

Questo perché nome del proprietario e username erano pubblicamente visibili sulla pagina profilo, e il form del recupero password di Myspace non verificava realmente se l'indirizzo e-mail inserito fosse effettivamente corretto. La falla è stata successivamente verificata anche da altre fonti e dalla stampa internazionale, che hanno confermato l'attendibilità e il corretto funzionamento del semplicissimo exploit. Insomma, bastava conoscere la data di nascita dell'utente per guadagnare l'accesso ad ogni account presente sul vecchio social network.

Una volta offerta l'informazione, infatti, il servizio garantiva l'accesso all'account chiedendo all'utente di fornire una nuova password e dando l'opportunità di cambiare l'indirizzo e-mail associato, ed anche la data di nascita. Galloway ha cercato di contattare Myspace già dallo scorso aprile, non ricevendo alcuna risposta fino alle scorse ore dopo aver diffuso pubblicamente l'exploit. Una volta diventato pubblico Viant ha rilasciato una nota in cui si può leggere che è stato "inserito uno step aggiuntivo nella verifica per evitare accessi impropri".

Myspace non ha più una solida base d'utenza e, dopo essere stato battuto da Facebook ed altri social network, si è riciclato come aggregatore di news. Tuttavia al suo interno potrebbero essere presenti ancora informazioni sensibili degli utenti e Galloway sottolinea che nessun sito dovrebbe sminuire in questo modo l'importanza della sicurezza: "Myspace è un esempio di scarsa sicurezza di cui molti siti purtroppo ancora oggi soffrono, ad esempio implementando controlli poco profondi e mancando di verifiche efficaci e di responsabilità", ha dichiarato la ricercatrice.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^