有图无图
www.55402.com永利 >澳门402com永利平台登录 >PledgeMusic漏洞:音乐网站让任何人无密码访问帐户 >

PledgeMusic漏洞:音乐网站让任何人无密码访问帐户

PledgeMusic漏洞:音乐网站让任何人无密码访问帐户

Login screen
众筹网站PledgeMusic遭遇了一个安全漏洞,允许人们在没有密码的情况下登录。 照片:SanteriViinamäki/ Wikimedia Commons

,PledgeMusic是一个围绕音乐构建的流行社交网络平台,它存在一个安全漏洞,允许任何人无需输入密码即可访问网站上的用户帐户。

该站点上的用户发现该漏洞,他们只需输入与该帐户关联的电子邮件地址即可登录帐户。 该站点允许用户在不输入密码的情况下登录。

通过该漏洞,任何人都可以获得对任何用户帐户的完全访问权限,只要他们知道与该帐户关联的电子邮件地址 - 或者只是继续猜测电子邮件地址,直到他们发现一个已注册到PledgeMusic的电子邮件地址。 尝试登录的人可能输入的密码不正确或根本没有密码,但仍然登录该帐户。

该网站被描述为“以远远超出简单流,下载或CD /乙烯基销售的方式连接艺术家和粉丝的平台。”它允许用户与艺术家交流并购买稀有或收藏品,包括后台通行证,乐器和书面音乐以及歌词。

它的运作方式类似于Kickstarter或Patreon式的艺术家众筹,他们可以授予用户独特的材料访问权,以换取筹集资金来完成项目。 使用该平台的艺术家包括Macy Gray,Cheap Trick,Collective Soul,Black Sabbath,Bullet For My Valentine等。

PledgeMusic拥有一个由300多万用户和约50,000名艺术家组成的社区。 目前尚不清楚艺术家帐户是否可能以与用户帐户类似的方式受到损害。

尽管提供了对帐户的完全访问权限,但安全漏洞显示有关用户的信息有限。 它确实包括用户信用卡的最后四位数字,如果他们在网站上存储了付款方式或使用了一个进行购买,但完整的号码不可用。 但是,攻击者可以从用户的帐户进行未经授权的购买并运行大量帐单。

PledgeMusic表示该漏洞已被修复 - 虽然该公司尚未公开承认该漏洞,但尚不清楚是否通知任何受影响的用户可能未经授权登录其账户。

据ZDNet称,PledgeMusic声称它“没有遇到过与此问题有关的客户服务问题或疑问”,并表示只有“部分用户”受此漏洞影响。 它没有透露有关此事件的任何数据。

今年早些时候,另一个音乐社区8tracks ,导致1800万用户帐户凭据被盗。 帐户的密码已加密 - 尽管加密可能会被破解 - 但电子邮件地址已被公开。

考虑到8tracks和PledgeMusic上的用户对音乐的兴趣相似,攻击者可以利用8tracks漏洞中被盗的信息在PledgeMusic上寻找用户帐户。 通常情况下,最初的违规行为往往导致额外的妥协。


载入中...