¿Has olvidado tu contraseña de Myspace? Sólo un nombre, un nombre de usuario y un DoB te permitirán entrar – y también a cualquier otra persona

Posted by admin Articles

El proceso de recuperación de cuentas de Myspace es irremediablemente defectuoso, según un investigador de seguridad.

Leigh-Anne Galloway, de Positive Technologies, se topó con el problema al intentar acceder y eliminar su cuenta en abril.

«Descubrí un proceso de negocio tan defectuoso que merece su propio lugar en la historia», explicó en una entrada de blog, publicada el lunes.

Myspace sólo requiere un nombre válido, un nombre de usuario y la fecha de nacimiento asociada a una cuenta para volver a acceder a ella, y eso es todo. No hay confirmación por correo electrónico. En el formulario de recuperación se solicitan otros datos, pero no es necesario rellenarlos para cambiar la contraseña y obtener el control de una cuenta, según descubrió Galloway.

A pesar de haber señalado el problema a Myspace hace semanas, todo lo que Galloway ha recibido desde entonces ha sido una respuesta automática. Myspace no ha resuelto el problema, según comprobó otro investigador de seguridad, Scott Helm, a finales de la semana pasada.

Dijo a El Reg: «La recuperación de la cuenta en Myspace requiere muy poca información; lo peor es que no verifican los campos de correo electrónico. Se puede restablecer con el nombre completo y el nombre de usuario, que se puede obtener de la página del perfil, y la fecha de nacimiento, que se puede encontrar o adivinar fácilmente».

La vulnerabilidad permite a cualquiera acceder a cualquier cuenta de Myspace, con sólo estos tres datos. El Reg se puso en contacto con el propietario de Myspace, Time Inc, para pedirle comentarios. Todavía no nos han contestado.

¿Es realmente relevante?

Myspace ya no es el megamonstruo de las redes sociales que fue, aunque eso no es excusa para una mala seguridad. Y, sin embargo, el año pasado se supo que consiguió filtrar los datos de 360 millones de cuentas de Myspace.

En respuesta a la venta online de las credenciales robadas de los usuarios, Myspace dijo que había «invalidado todas las contraseñas de los usuarios de las cuentas afectadas creadas antes del 11 de junio de 2013 en la antigua plataforma de Myspace.» Continuó diciendo que estaba «utilizando protocolos avanzados, incluyendo hashes con doble sal», con el fin de proteger las cuentas de los usuarios.

Tales esfuerzos quedan sin efecto cuando es posible obtener el control de una cuenta con algunos datos básicos y sin conocer la contraseña.

«Myspace es un ejemplo del tipo de seguridad descuidada de la que adolecen muchos sitios: mala implementación de los controles, falta de validación de las entradas de los usuarios y cero responsabilidad», concluyó Galloway. «Aunque Myspace ya no es el sitio número uno de las redes sociales, tienen el deber de cuidar a los usuarios pasados y presentes».

Galloway dijo a El Reg que Myspace era «como un cementerio de datos personales». Aquellos que todavía tienen una cuenta en Myspace deberían borrarla inmediatamente, aconsejó.

Myspace era un goliat de la Web 2.0, con un fuerte énfasis en la música: era un patio de recreo de Internet gritón y feo para los fans y las bandas no firmadas. Luego fue completamente aplastado por Facebook. Desde entonces ha pasado por una serie de propietarios diferentes, como AOL y News Corp, entre otros.

Su popularidad ha disminuido hasta el punto de que actualmente se encuentra fuera de los 1.000 primeros sitios web de EE.UU. por tráfico, y sólo en el puesto 3.374 a nivel mundial, según las últimas cifras de la agencia de estadísticas web Alexa. ®

Deja una respuesta

Tu dirección de correo electrónico no será publicada.