Passwort für Myspace vergessen? Nur ein Name, ein Benutzername und ein DoB reichen aus, um sich einzuloggen – und das gilt auch für alle anderen

Posted by admin Articles

Das Verfahren zur Wiederherstellung von Myspace-Konten ist laut einem Sicherheitsforscher hoffnungslos fehlerhaft.

Leigh-Anne Galloway von Positive Technologies stolperte im April bei dem Versuch, sich Zugang zu verschaffen und ihr Konto zu löschen, über das Problem.

„Ich habe einen Geschäftsprozess entdeckt, der so fehlerhaft ist, dass er einen eigenen Platz in der Geschichte verdient“, erklärte sie in einem am Montag veröffentlichten Blogbeitrag.

Myspace verlangt nur einen gültigen Namen, einen Benutzernamen und ein Geburtsdatum, die mit einem Konto verknüpft sind, um wieder Zugang zu diesem Konto zu erhalten – und das war’s. Keine E-Mail-Bestätigung. Im Wiederherstellungsformular werden weitere Angaben verlangt, die aber nicht notwendig sind, um das Passwort zu ändern und die Kontrolle über ein Konto zu erlangen, wie Galloway herausgefunden hat.

Obwohl er Myspace schon vor Wochen auf das Problem hingewiesen hat, hat er seitdem nur eine automatische Antwort erhalten. Ein anderer Sicherheitsforscher, Scott Helm, bestätigte Ende letzter Woche, dass Myspace das Problem nicht gelöst hat.

Er sagte gegenüber El Reg: „Für die Kontowiederherstellung bei Myspace braucht man erschreckend wenig Informationen – noch schlimmer ist, dass sie die E-Mail-Felder nicht verifizieren. Man kann das Konto mit dem vollständigen Namen und dem Benutzernamen zurücksetzen, die man auf der Profilseite findet, und mit dem Geburtsdatum, das leicht zu finden oder zu erraten ist.“

Die Sicherheitslücke ermöglicht es jedem, mit nur diesen drei Informationen auf jedes Myspace-Konto zuzugreifen. El Reg hat den Myspace-Eigentümer Time Inc. um eine Stellungnahme gebeten. Eine Antwort steht noch aus.

Ist das wirklich relevant?

Myspace ist nicht mehr das Mega-Monster unter den sozialen Netzwerken, das es einmal war, aber das ist keine Entschuldigung für schlechte Sicherheit. Dennoch wurde im vergangenen Jahr bekannt, dass es gelungen war, die Daten von 360 Millionen Myspace-Konten auszuspähen.

Als Reaktion auf den Online-Verkauf der gestohlenen Benutzerdaten erklärte Myspace, es habe „alle Benutzerpasswörter für die betroffenen Konten, die vor dem 11. Juni 2013 auf der alten Myspace-Plattform erstellt wurden, für ungültig erklärt“. Myspace erklärte weiter, dass es „fortschrittliche Protokolle einschließlich doppelt gesalzener Hashes“ verwendet, um die Konten der Nutzer zu schützen.

Solche Bemühungen sind überflüssig, wenn es möglich ist, mit einigen grundlegenden Informationen und ohne Kenntnis des Passworts die Kontrolle über ein Konto zu erlangen.

„Myspace ist ein Beispiel für die Art von schlampiger Sicherheit, unter der viele Websites leiden – mangelhafte Implementierung von Kontrollen, fehlende Validierung von Benutzereingaben und keinerlei Verantwortlichkeit“, schloss Galloway. „Auch wenn Myspace nicht mehr die Nummer eins unter den sozialen Medien ist, haben sie eine Sorgfaltspflicht gegenüber den früheren und heutigen Nutzern.“

Galloway sagte gegenüber El Reg, dass Myspace „wie ein Friedhof für persönliche Daten“ sei. Diejenigen, die noch ein Konto bei Myspace haben, sollten es sofort löschen, riet sie.

Myspace war ein Web 2.0-Goliath, mit einem starken Schwerpunkt auf Musik: Es war ein schreiender, hässlicher Internet-Spielplatz für Fans und Bands ohne Vertrag. Dann wurde es von Facebook völlig zerschlagen. Seitdem hat es eine Reihe verschiedener Besitzer gehabt, darunter AOL und News Corp.

Es hat an Popularität eingebüßt, bis zu dem Punkt, an dem es derzeit außerhalb der Top 1.000 US-Websites nach Besucherzahlen liegt und weltweit nur noch auf Platz 3.374, wie die neuesten Zahlen der Web-Statistikagentur Alexa zeigen. ®

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.