Pred nejakým časom som napísal článok o DataPortability a mojej zlej predtuche, ako vážne môže tento voľný systém výmeny klientských informácií medzi sieťami byť v skutočnosti nebezpečný a dnes je to tu. Privátne fotografie dvoch notoricky známych žien boli odcudzené práve vďaka DataPortability.
Fotografie z privátnych profilov Paris Hilton a Londsay Lohan sa podarilo odcudziť už známemu hackerovi, Kanadskému počítačovému technikovi, Byronovi Ng, ktorý bol zodpovedný aj za odcudzenie privátnych fotografií zo súkromného profilu Paris Hilton. Byronovi sa podarilo odhaliť, že vďaka integrácií MySpace profilov do Yahoo, je možné získať akékoľvek fotografie aj z uzamknutých profilov, ktoré sú prístupné len vybranej skupine návštevníkov, väčšinou len priamych priateľov danej osoby, ktorej patrí profil. Túto integráciu zabezpečuje práve DataPortability.
Celý útok je opätovne postavený na veľmi jednoduchom princípe prepisovania údajov v URL, čím hacker získa prístup aj k neautorizovaným častiam uzamknutých profilov. Chyba však nebola priamo v návrhu DataPortability ale Yahoo, ktoré umožňovalo svojim užívateľom pridať svoj existujúci MySpace profil na svoj mobil bez overenia totožnosti majiteľa. Systém síce vyžadoval prihlasovacie údaje, no nie špecifického užívateľa, ale prakticky kohokoľvek. Napriek tomu sa pripisuje veľká časť zodpovednosti práve DataPortability, ktoré je zodpovedné za možnosť takto jednoducho vymieňať dáta vrámci sociálnych sietí, pričom už však nerieši bezpečnostné opatrenia.
Byron Ng sa o celý postup podelil, nebudem ho však prekladať a ponechám ho v angličtine. Postup je už v tejto chvíli nefunkčný.
1. you’ll need a Yahoo account. go to www.yahoomail.com and create a yahoo account if you don’t have one already. and you will need to go to www.myspace.com to sign up for a myspace account first, if you don’t have one already.
2. go to http://beta.m.yahoo.com/w/gallery/widget click on the ‘mail’ button under “sign in to yahoo!”
3. click on ‘click here to sign in’
4. enter your yahoo id, yahoo password
5. then on the top of the screen in the white box, enter: myspace then click Search Widgets Gallery
6. you will see a green box in the middle with the word ‘myspace’ in there.
7. click the green myspace.
8. see in the middle of the screen it says “add it” - click that.
9. click yes when it asks you about sharing info
10. go here http://beta.m.yahoo.com/w/gallery/widget
11. enter myspace into the box. click search widgets gallery
12. click on the green myspace. now, since you have already set it up in the previous steps, it won’t ask you to download again
13. click on ‘go to widget’ (that’s right below the ‘already added it” text
14. now sign in to myspace
15. now take the URL I asked you to save above before step 1: http://beta.m.yahoo.com/w/myspace/profile/en.osl?userID=16527727 and click on it. it may ask you to sign into yahoo or my space. sign in as appropriate. now you should be able to see the person’s pictures. if you can only see your own profile, then click on it again http://beta.m.yahoo.com/w/myspace/profile/en.osl?userID=16527727 then it will work.
Toto však nie je prvý “prešľap”, ktorý poznamenal MySpace. Začiatkom tohto roku sa na torrente objavil 17GB súbor, ktorý obsahoval cez pol milióna fotografií z profilov užívateľov tejto sociálnej siete, vrátane privátnych. Je len otázkou času, kedy sa podobné incidenty začnú množiť a preto sa naskytá otázka: Kto bude preberať zodpovednosť za takéto incidenty a kto potom nahradí vzniknuté škody? Pravdepodobne na túto otázku dostaneme odpoveď už v priebehu niekoľkých mesiacov.
oni sa aj tak len tesia ze im tie fotky niekto vyfukol :)