Myspace’s account recovery process is hopelessly flawed, according to a security researcher.

Positive Technologies’ Leigh-Anne Galloway belebotlott a problémába, amikor áprilisban megpróbált hozzáférni és törölni a fiókját.

“Felfedeztem egy olyan hibás üzleti folyamatot, amely megérdemli a saját helyét a történelemben” – magyarázta a hétfőn közzétett blogbejegyzésében.

A myspace csak egy érvényes nevet, felhasználónevet és a fiókhoz kapcsolódó születési dátumot igényel ahhoz, hogy a fiókhoz való hozzáférést vissza lehessen nyerni – és ennyi. Nincs e-mailes megerősítés. A helyreállítási űrlapon más adatokat is kérnek, de ezek kitöltése nem szükséges a jelszó megváltoztatásához és a fiók feletti ellenőrzés megszerzéséhez, fedezte fel Galloway.

Miatt, hogy hetekkel ezelőtt jelezte a problémát a Myspace-nek, Galloway azóta csak egy automatikus választ kapott. A Myspace nem oldotta meg a problémát, erősítette meg a múlt hét végén egy másik biztonsági kutató, Scott Helm.

Az El Regnek elmondta: “A fiók helyreállítása a Myspace-en ijesztően kevés információt igényel – ami még rosszabb, hogy nem ellenőrzik az e-mail mezőket. A teljes névvel és felhasználónévvel lehet visszaállítani, amit a profiloldalról lehet megtudni, valamint a születési dátummal, ami könnyen megtalálható vagy kitalálható.”

A sebezhetőség lehetővé teszi, hogy bárki hozzáférjen bármilyen Myspace-fiókhoz, csak ezzel a három információval. Az El Reg megkereste a Myspace tulajdonosát, a Time Inc-t kommentárért. Még nem kaptunk választ.

Tényleg fontos ez?

A Myspace már nem az a közösségi hálózati megaszörny, ami egykor volt, bár ez nem mentség a gyenge biztonságra. Tavaly mégis kiderült, hogy sikerült kiszivárogtatni 360 millió Myspace-fiók adatait.

A felhasználók ellopott belépési adatainak online értékesítésére válaszul a Myspace közölte, hogy “érvénytelenítette az összes felhasználói jelszót az érintett fiókokhoz, amelyeket 2013. június 11. előtt hoztak létre a régi Myspace platformon”. A továbbiakban azt írta, hogy “fejlett protokollokat használ, beleértve a dupla sós hash-okat” a felhasználók fiókjainak védelme érdekében.”

Az ilyen erőfeszítések okafogyottá válnak, amikor néhány alapvető információval és a jelszó ismerete nélkül is át lehet venni az irányítást egy fiók felett.

“A Myspace példa arra a fajta hanyag biztonságra, amitől sok webhely szenved – az ellenőrzések rossz végrehajtása, a felhasználói bemenet érvényesítésének hiánya és a nulla elszámoltathatóság” – zárta Galloway. “Bár a Myspace már nem az első számú közösségi médiaoldal, a múltbeli és jelenlegi felhasználókkal szemben gondossági kötelezettségük van.”

Galloway az El Regnek azt mondta, hogy a Myspace “olyan, mint a személyes adatok temetője”. Azoknak, akiknek még mindig van fiókjuk a Myspace-en, azt tanácsolta, hogy azonnal töröljék azt.

A Myspace egy Web 2.0 góliát volt, nagy hangsúlyt fektetve a zenére: üvöltő, csúnya internetes játszótér volt a rajongók és a szerződtetlen zenekarok számára. Aztán teljesen szétzúzta a Facebook. Azóta egy sor különböző tulajdonoson ment keresztül, többek között az AOL és a News Corp. között.

Népszerűsége annyira visszaesett, hogy az Alexa webstatisztikai ügynökség legfrissebb adatai szerint jelenleg a látogatottság alapján az Egyesült Államokban az első 1000 weboldal között van, globálisan pedig csak a 3374. helyen áll. ®