В Myspace можно похитить любой аккаунт

На протяжении нескольких месяцев она пыталась заставить компанию исправить уязвимость, но в итоге отчаялась и опубликовала подробности в своём блоге, сообщает "3Dnews".

Уязвимость присутствует на странице восстановления аккаунта Myspace. Сервис просит ввести имя, фамилию, почтовый адрес и дату рождения. Чтобы получить доступ к аккаунту, нужно знать только последнее.

Имя и фамилия владельца аккаунта публично доступны на его странице. А правильность введённого почтового адреса, как оказалось, форма восстановления не проверяет. The Verge опробовал баг на аккаунте-пустышке и подтвердил его существование.

Во многих случаях не очень трудно выяснить, когда человек родился. После ввода этой информации вы сможете войти в аккаунт пользователя. Сервис предложит установить новый пароль и даст возможность изменить почту и дату рождения.

Галлоуэй рассказала, что связалась с Myspace в апреле, но так и не получила ответа.

"Судя по всему, Myspace хочет, чтобы мы все взяли безопасность в свои руки, — написала она. — Если вдруг у вас ещё есть аккаунт в Myspace, я советую удалить его немедленно".

Сегодня Myspace уже почти никто не пользуется. После того, как сервис был повержен Facebook, он превратился в своеобразный новостной агрегатор с упором на музыку. Предполагалось, что со страниц исполнителей можно будет проигрывать песни, но они почему-то не включались ни в одном браузере. В прошлом году сервис купила Time Inc.

"Myspace — пример небрежного отношения к безопасности, от которого страдают многие сайты; плохого внедрения элементов управления; отсутствия проверки пользовательского ввода и нулевой отчётности", — добавила Галлоуэй.

Фото: "3Dnews"