rick-deacon-stor

Annonse


-Enkelt å hacke MySpace

Oppdatert søndag 5. august: 5 minutter etter at Deacon avholdte presentasjonen sin (vi gjorde dette intervjuet to dager i forkant) ble profilen og brukerkontoen hans slettet av MySpace. Hullet skal også være patchet.

Las Vegas (ITavisen): Rick Deacon jobber som IT-spesialist i et lite firma i California. Nå er han på Defcon 15, verdens største hackertreff i Las Vegas, for å fortelle hvor lett det er å logge seg på som andre brukere på sosiale nettverkssider som MySpace og Facebook.

– Jeg er verken ekspert i programmering eller noen sikkerhetsguru. Jeg bare vet litt om XSS (Cross-Server Scripting) og har gjort en del research på emnet, forteller 21-åringen.

Stjeler cookies
Sammen med noen kolleger har Deacon gått systematisk til verks for å utforske svakhetene til MySpace.

Annonse


Hvis han først klarer å få en pålogget MySpace-bruker til å klikke på en link som tar han/henne videre til en egen side – noe som ikke er så vanskelig i et miljø der folk stort sett klikker på hva som helst – så kan Deacon snappe opp brukerens session-cookie.

– Derfra er det en smal sak å bruke informasjon i cookien til å logge seg på som denne brukeren, og dermed få tilgang til alle funksjoner man ville fått ved en vanlig pålogging, sier Deacon til ITavisen.no

Hullet tettes ikke
Til tross for hvor enkelt det tilsynelatende er å snappe opp andres brukerkontoer har MySpace angivelig ikke gjort sitt for å forhindre slike hackerangrep.

– MySpace har blitt informert om dette og andre hull en rekke ganger, men har ikke gjort noe med det, forteller Deacon, og regner med at kanskje den økte oppmerksomheten rundt sårbarhetene i kjølvannet av Defcon-innlegget hans vil sette sving på sakene.

Facebook også utsatt
Mange andre nettsider som i stadig større grad benytter seg av brukermedvirkning er også sårbare, i følge Deacon.

– Facebook er litt bedre til å tette hullene sine enn MySpace, men du finner så vidt jeg vet mange av de samme problemene også på Facebook, sier Deacon til ITavisen.no

Tuller med vennene sine
Til tross for de store mulighetene for misbruk har ikke Rick selv gjort noe særlig ugang på MySpace, bortsett fra å hacke seg inn på kontoene til et par kompiser.

– Jeg har gått inn på venners kontoer og lagt inn kompromitterende bilder og sånt bare på gøy, men det er klart at det er potensiale for mye ugang her.

Annonse