MySpace Sitesinde Büyük Açık

Geçen yıl Mayıs ayında 427 milyondan fazla Myspace hesabı kimlik bilgileri büyük bir veri ihlalinden sonra çevrimiçi sızdırıldı. Veri setinde, eski ve güvensiz bir şifreleme fonksiyonu olan SHA-1 ile hash olan kullanıcı adları, e-posta adresleri ve şifreler yer alıyordu. Birkaç gün sonra şirket veri ihlalini doğruladı ve güvenliği artırmak için önemli adımlar atmaya söz verdi.

Güvenlik araştırmacısı Leigh-Anne Galloway, blogunda Myspace‘in hesap kurtarma sayfasındaki utanç verici bir kusurunun ayrıntılarını açıkladı. Sayfa hesap sahibinin adını, kullanıcı adını, orijinal e-posta adresini ve doğum gününü soruyor. İlk ikisi, bir kullanıcının profil sayfasında herkese açık olarak görüntülenir. Hesap kurtarma formu, doğru e-posta adresini girip girmediğinizi gerçekten kontrol etmez; bu nedenle, birinin hesabına erişmek için gerçekten bilmeniz gereken şey, o kişinin doğum günüdür; bu, herkesin biraz araştırma ile bulması muhtemel bir şeydir.

Bu bilgileri kurtarma formunda doldurduğunuzda, hesapta oturum açmış olursunuz ve sizden yeni bir şifre belirlemenizi ister. Ardından, hesabın sürekli sahipliğini alarak ilişkili e-posta adresini ve doğum tarihini değiştirebilirsiniz.

Galloway, Nisan ayındaki kusur hakkında Myspace‘e bilgi verdi, ancak şirketten henüz yanıt alamadı. Sonuç olarak, güvenlik araştırmacısı bu açığı kamuoyuna açıklanmaya ve milyonlarca savunmasız hesap sahibine bilgi vermeye karar verdi.

“Peki Myspace güvenlik konusunu ne derece ciddiye alıyor? Hiç ciddi değil. Nisan ayında Myspace’e bu güvenlik açığını belgeleyen bir e-posta gönderdim ve otomatik yanıt almaktan başka bir şey almadım. Bu, hâlâ mevcutken güvenlik açığını açığa çıkarmama yöneltti. Görünüşe göre Myspace, güvenliğimizi kendi ellerimize almamızı istiyor. Myspace’de hâlâ bir hesabınız olması olasılığı varsa, hesabınızı derhal silmenizi öneririm. “

Myspace, eskiden olduğu gibi sosyal ağ canavarı olmaktan çok uzakta, ancak Galloway, gevşek hesap koruması ile dikkat çeken diğer birçok site arasında bir örnek olduğundan zayıf güvenlik uygulamalarının hala önemli olduğunu söylüyor.

5 YORUMLAR

  1. Sevgili Selçuk Merhaba,

    Bende Bir WP Geliştirici ve defalarca hackyiyen biri :) olarak sana web sitedeki bağzı açıkları söyleyeyim.

    1.kuaza.com/wp-json linki apaçık ortada duruyor buna bi kısıtlama getirmek gerek çünkü kötü niyetli insanlar burdan site ile ilgili bilgilere
    erişebiliyorlar özellikle kullandığın eklentileri öğrenmek için ilk buraya bakarlar.Wp 4.7 sürümünden gelen bu özellik ilk kullanıcıyla buluştuğunda
    hatalı yapılan geliştirme yüzünden dünyadaki bütün WP 4.7 ler toplatıldı (Otomatik Wp 4.5’e downgrade oldu). Şimdilerde ise zararsız gibi dursada
    dediğimiz gibi sadece hangi eklentileri kullandığına bakıp ordan vurmaya çalışıyorlar.(Kısıtlama şart)

    2.kuaza.com/xmlrpc.php buda wordpress’in meşur saldırı alan dosyalarından biri benim yaptığım bağzı sitelere loglardan baktığım kadarıyla haftada hiç değilse
    200 farklı ip’den budosyaya saldırı alıyorum.(Bunuda göz önünden kaldırmak lağzım)

    3.Kuaza.com/wp-login.php Deepweb den yayınlanan ücretsiz exploidlerden dolayı artık gına getiren wordpressin klasik giriş sayfası. Yani şukadarını söyleyim bırak amatör’ü
    kızlardan bile hack yedim buradan dolayı. Herçıkan WP sürüm için deepweb’de çeşitli exploidler yayınlanıyor akıllı arkadaşlarda bunları kullanıp ve SESSION/COOKIE duvarını
    aşıp index’i değiştirince hacker olduğunu zannediyorlar.(Onun için burada Çok önemli Bi engelleme şart)

    4.”PATH Protection” Kuaza.com/wp-includes , /wp-admin ve /wp-content gibi klasörlerin isimlerini değiştirmeliyiz(yada başka bir çözüm). Özellikle “/wp-content” çok önem kazanıyor
    çünkü “./wp-content/plugins” klasöründen Sisteminde yüklü olan eklentileri kontrollerini burdan yapıyorlar ve açığı bulunan eklenilere saldırıyorlar.

    Ve Son Olarak Bir UX önerisi;
    Şu sayfanın sürekli kendini yenilemesi olayının timerını Bizler yorum yazarken durdurursak sağlıklı kullanıma yönelik bir iş yapmış oluruz
    çünkü yorumum yarıda gitti baştan yazmak zorunda kaldım. ;)

    • Sayfa yenileme olayini komple kaldirdim, oncelikle bu sacma problem icin sizden ozur diliyorum.

      Diger bir olayda zaman ayirip faydali bir insan olmaya calistiginiz (oldunuzda) icin size cok minnettarim, cogu insan bunu umursamaz gecerdi. Verdiginiz bilgileri okudum, test etme yonunde de denemelerim oldu, konuyla alakali daha fazla calisma yapip, bu tarz uygulamalarin aciklari hala gecerlimi, nasil onlenir tarzinda wordpress guvenligi uzerine bir yazi hazirlamaya sayenizde calisacagim.

      Tekrar ilginize ve alakaniza minnettar oldugumu belirtmek bunun akabinde size tesekkurlerimi sunmak istiyorum, saygilar.

CEVAP VER

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.