Myspacen tilin palautusprosessi on tietoturvatutkijan mukaan toivottoman puutteellinen.

Positive Technologiesin Leigh-Anne Galloway törmäsi ongelmaan yrittäessään päästä käsiksi tiliinsä ja poistaa sen huhtikuussa.

”Löysin liiketoimintaprosessin, joka on niin virheellinen, että se ansaitsee oman paikkansa historiassa”, hän selitti blogikirjoituksessaan, joka julkaistiin maanantaina.

Myspace vaatii vain tiliin liittyvän kelvollisen nimen, käyttäjätunnuksen ja syntymäajan, jotta tiliin voi päästä uudelleen käsiksi – ja siinä kaikki. Ei mitään sähköpostivahvistusta. Palautuslomakkeessa pyydetään muitakin tietoja, mutta niiden täyttäminen ei ole välttämätöntä salasanan vaihtamiseksi ja tilin hallinnan saamiseksi, Galloway havaitsi.

Huolimatta siitä, että Galloway on huomauttanut asiasta Myspacelle jo viikkoja sitten, hän on sen jälkeen saanut vain automaattisen vastauksen. Myspace ei ole ratkaissut ongelmaa, varmisti toinen tietoturvatutkija Scott Helm viime viikon lopulla.

Hän kertoi El Regille: ”Tilin palauttaminen Myspacessa vaatii pelottavan vähän tietoa – vielä pahempaa on se, että he eivät tarkista sähköpostikenttiä. Tilin voi palauttaa koko nimellä ja käyttäjätunnuksella, jotka saa profiilisivulta, sekä syntymäajalla, joka on helppo löytää tai arvata.”

Haavoittuvuus mahdollistaa kenen tahansa pääsyn mille tahansa Myspace-tilille vain näillä kolmella tiedolla. El Reg lähestyi Myspacen omistajaa Time Inc:tä kommenttia varten. Vastausta ei ole vielä kuulunut.

Onko sillä todella merkitystä?

Myspace ei ole enää se sosiaalisen verkostoitumisen megahirviö, joka se aikoinaan oli, vaikka se ei ole mikään tekosyy huonolle turvallisuudelle. Silti viime vuonna kävi ilmi, että se onnistui vuotamaan 360 miljoonan Myspace-tilin tiedot.

Vastauksena käyttäjien varastettujen tunnusten verkkomyyntiin Myspace kertoi, että se oli ”mitätöinyt kaikki ennen 11. kesäkuuta 2013 vanhalla Myspace-alustalla luotujen, kyseeseen tulleiden tilien käyttäjätunnukset”. Se jatkoi sanovansa, että se ”käyttää kehittyneitä protokollia, mukaan lukien kaksoissuolattuja hasheja” käyttäjien tilien suojaamiseksi.

Tällaiset ponnistelut menettävät merkityksensä, kun tili on mahdollista saada haltuunsa joillakin perustiedoilla ilman salasanan tuntemusta.

”Myspace on esimerkki siitä, millaisesta huolimattomasta tietoturvasta monet sivustot kärsivät – kontrollien huono toteutus, käyttäjän syötteiden validoinnin puute ja nollatilivelvollisuus”, Galloway totesi. ”Vaikka Myspace ei ole enää sosiaalisen median ykkössivusto, sillä on huolenpitovelvollisuus entisiä ja nykyisiä käyttäjiä kohtaan.”

Galloway sanoi El Regille, että Myspace oli ”kuin henkilötietojen hautausmaa”. Niiden, joilla on vielä tili Myspacessa, pitäisi poistaa se välittömästi, hän neuvoi.

Myspace oli Web 2.0:n jättiläinen, jonka pääpaino oli musiikissa: se oli huutava, ruma internetin leikkikenttä faneille ja allekirjoittamattomille bändeille. Sitten Facebook murskasi sen täysin. Sen jälkeen se on vaihtanut omistajia, muun muassa AOL ja News Corp.

Myspace on menettänyt suosiotaan niin paljon, että sen suosio on tällä hetkellä 1000 suosituimman yhdysvaltalaisen verkkosivun ulkopuolella, ja maailmanlaajuisesti se on vasta 3374:ntenä, web-tilastotoimisto Alexan viimeisimpien lukujen mukaan. ®