Myspace のアカウント回復プロセスには絶望的な欠陥があると、セキュリティ研究者は述べています。

Positive Technologies の Leigh-Anne Galloway は、4月に自分のアカウントにアクセスして削除しようとする過程で、この問題につまずきました。

「私は、歴史に名を残すに値するほど欠陥のあるビジネス プロセスを発見しました」と、彼女は月曜日に公開されたブログ投稿で説明しました。 メールでの確認はありません。 回復フォームには他の詳細が要求されますが、パスワードを変更してアカウントを制御するために、それらを記入する必要はないことを、Galloway 氏は発見しました。

彼はEl Regに、「Myspaceのアカウント回復には恐ろしく少ない情報しか必要ない。さらに悪いことに、彼らはメールフィールドを確認しないのだ。 この脆弱性は、この3つの情報だけで、誰でもどんなMyspaceアカウントにもアクセスできるようにします。 El Regは、MyspaceのオーナーであるTime Incにコメントを求めました。

本当に関係あるのでしょうか？

Myspace はもはやかつてのような巨大なソーシャルネットワーキング企業ではなく、だからといってセキュリティが低いという言い訳はできない。 しかし、昨年、3億6000万もの Myspace アカウントの詳細が流出したことが明らかになりました。

ユーザーの盗んだ認証情報がオンラインで販売されたことに対し、Myspace は、「2013年6月11日より前に古い Myspace プラットフォームで作成された、影響を受けるアカウントのすべてのユーザーパスワードを無効にした」と発表しました。 さらに、ユーザーのアカウントを保護するために「二重塩漬けハッシュを含む高度なプロトコルを利用している」と述べています。

いくつかの基本情報とパスワードの知識がなくてもアカウントを制御できるようになると、こうした努力は意味をなさなくなります。

「Myspace は、制御の不十分な実装、ユーザー入力の検証の欠如、および説明責任ゼロといった、多くのサイトが苦しんでいるずさんなセキュリティの一例です」と Galloway は結論付けています。 「Myspaceはもはやナンバーワンのソーシャルメディアサイトではありませんが、過去と現在のユーザーに対して注意義務を負っています」

Galloway氏はEl Regに、Myspaceは「個人データの墓場のようなもの」だと語っています。

マイスペースは、音楽に強く重点を置いた Web 2.0 の巨人であり、ファンや未登録バンドのための、悲鳴を上げる醜いインターネットの遊び場だった。 その後、Facebook に完全に押しつぶされました。 それ以来、AOL や News Corp など、さまざまな所有者を経てきました。

ウェブ統計機関 Alexa の最新の数字によると、現在、トラフィックで米国のトップ 1,000 ウェブサイトの外に、世界的には 3,374 位に格付けされるまでに人気が低下しています。 ®