Рубрики
МЕНЮ
Виталий Войчук
На протяжении нескольких месяцев она пыталась заставить компанию исправить уязвимость, но в итоге отчаялась и опубликовала подробности в своём блоге, сообщает "3Dnews".
Уязвимость присутствует на странице восстановления аккаунта Myspace. Сервис просит ввести имя, фамилию, почтовый адрес и дату рождения. Чтобы получить доступ к аккаунту, нужно знать только последнее.
Имя и фамилия владельца аккаунта публично доступны на его странице. А правильность введённого почтового адреса, как оказалось, форма восстановления не проверяет. The Verge опробовал баг на аккаунте-пустышке и подтвердил его существование.
Во многих случаях не очень трудно выяснить, когда человек родился. После ввода этой информации вы сможете войти в аккаунт пользователя. Сервис предложит установить новый пароль и даст возможность изменить почту и дату рождения.
Галлоуэй рассказала, что связалась с Myspace в апреле, но так и не получила ответа.
"Судя по всему, Myspace хочет, чтобы мы все взяли безопасность в свои руки, — написала она. — Если вдруг у вас ещё есть аккаунт в Myspace, я советую удалить его немедленно".
Сегодня Myspace уже почти никто не пользуется. После того, как сервис был повержен Facebook, он превратился в своеобразный новостной агрегатор с упором на музыку. Предполагалось, что со страниц исполнителей можно будет проигрывать песни, но они почему-то не включались ни в одном браузере. В прошлом году сервис купила Time Inc.
"Myspace — пример небрежного отношения к безопасности, от которого страдают многие сайты; плохого внедрения элементов управления; отсутствия проверки пользовательского ввода и нулевой отчётности", — добавила Галлоуэй.
Фото: "3Dnews"
Обсуждения
Новости партнеров
Новости