Hai dimenticato la tua password di Myspace? Solo un nome, nome utente, DoB ti farà entrare – e anche in quello di chiunque altro

Posted by admin Articles

Il processo di recupero dell’account di Myspace è irrimediabilmente difettoso, secondo un ricercatore di sicurezza.

Leigh-Anne Galloway di Positive Technologies si è imbattuta nel problema mentre cercava di ottenere l’accesso e cancellare il suo account ad aprile.

“Ho scoperto un processo di business così difettoso che merita un posto nella storia”, ha spiegato in un post sul blog, pubblicato lunedì.

Myspace richiede solo un nome valido, nome utente e data di nascita associati a un account per riottenere l’accesso all’account – e questo è tutto. Nessuna conferma via email. Altri dettagli sono richiesti nel modulo di recupero, ma riempirli non è necessario per cambiare la password e ottenere il controllo di un account, ha scoperto Galloway.

Nonostante abbia segnalato il problema a Myspace settimane fa, tutto ciò che Galloway ha ricevuto da allora è stata una risposta automatica. Myspace non ha risolto il problema, un altro ricercatore di sicurezza, Scott Helm, ha verificato alla fine della settimana scorsa.

Ha detto a El Reg: “Il recupero dell’account su Myspace richiede spaventosamente poche informazioni – ancora peggio è che non verificano i campi e-mail. Puoi resettare con il nome completo e il nome utente, che puoi ottenere dalla pagina del profilo, e la data di nascita, che può essere facilmente trovata o indovinata.”

La vulnerabilità permette a chiunque di accedere a qualsiasi account Myspace, con solo questi tre pezzi di informazioni. El Reg ha contattato il proprietario di Myspace, Time Inc, per un commento. Non abbiamo ancora ricevuto risposta.

È davvero rilevante?

Myspace non è più il mega-mostro del social network che era una volta, anche se questa non è una scusa per la scarsa sicurezza. Eppure l’anno scorso è emerso che è riuscito a far trapelare i dettagli di 360 milioni di account Myspace.

In risposta alla vendita online delle credenziali rubate dagli utenti, Myspace ha detto di aver “invalidato tutte le password degli utenti per gli account interessati creati prima dell’11 giugno 2013 sulla vecchia piattaforma Myspace”. Ha continuato a dire che stava “utilizzando protocolli avanzati tra cui i doppi hash salati” al fine di proteggere gli account degli utenti.

Tali sforzi sono resi vani quando è possibile ottenere il controllo di un account con alcune informazioni di base e nessuna conoscenza della password.

“Myspace è un esempio del tipo di sicurezza sciatta di cui soffrono molti siti – scarsa implementazione dei controlli, mancanza di convalida degli input dell’utente e zero responsabilità”, conclude Galloway. “Anche se Myspace non è più il sito di social media numero uno, hanno il dovere di prendersi cura degli utenti passati e presenti.”

Galloway ha detto a El Reg che Myspace era “come un cimitero di dati personali”. Chi ha ancora un account su Myspace dovrebbe cancellarlo immediatamente, ha consigliato.

Myspace era un goliath del Web 2.0, con una forte enfasi sulla musica: era un parco giochi internet urlante e brutto per i fan e le band non firmate. Poi è stato completamente schiacciato da Facebook. Da allora è passato attraverso una serie di proprietari diversi, tra cui AOL e News Corp tra gli altri.

È diminuito in popolarità al punto che attualmente è valutato fuori dai primi 1.000 siti web statunitensi per traffico, e solo 3.374° a livello globale, secondo gli ultimi dati dell’agenzia di statistiche web Alexa. ®

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.