Wachtwoord Myspace vergeten? Met alleen een naam, gebruikersnaam, DoB kom je binnen – en ook bij anderen

Posted by admin Articles

Myspace’s account herstelproces is hopeloos gebrekkig, volgens een beveiligingsonderzoeker.

Positive Technologies’ Leigh-Anne Galloway stuitte op het probleem tijdens een poging om toegang te krijgen en haar account in april te verwijderen.

“Ik ontdekte een bedrijfsproces dat zo gebrekkig is dat het zijn eigen plaats in de geschiedenis verdient,” legde ze uit in een blogpost, gepubliceerd op maandag.

Myspace vereist alleen een geldige naam, gebruikersnaam en geboortedatum gekoppeld aan een account om weer toegang te krijgen tot dat account – en dat is het. Geen e-mail bevestiging. Andere details worden gevraagd in het herstelformulier, maar het invullen ervan is niet nodig om het wachtwoord te wijzigen en controle te krijgen over een account, ontdekte Galloway.

Hoewel Myspace het probleem weken geleden aan de kaak stelde, heeft Galloway sindsdien alleen een geautomatiseerd antwoord ontvangen. Myspace heeft het probleem niet opgelost, verifieerde een andere beveiligingsonderzoeker, Scott Helm, eind vorige week.

Hij vertelde El Reg: “Account herstel op Myspace vereist schrikbarend weinig informatie – nog erger deel is dat ze de e-mailvelden niet verifiëren. Je kunt resetten met volledige naam en gebruikersnaam, die je kunt krijgen van de profielpagina, en geboortedatum, die gemakkelijk kan worden gevonden of geraden.”

De kwetsbaarheid geeft iedereen toegang tot elk Myspace-account, met alleen deze drie stukjes informatie. El Reg heeft Myspace eigenaar Time Inc benaderd voor commentaar. We hebben nog niets gehoord.

Is het echt relevant?

Myspace is niet meer het sociale netwerk mega-monster dat het ooit was, hoewel dat geen excuus is voor slechte beveiliging. En toch bleek vorig jaar dat het lukte om de gegevens van 360 miljoen Myspace-accounts te lekken.

In reactie op de online verkoop van de gestolen gebruikersgegevens, zei Myspace dat het “alle gebruikerswachtwoorden ongeldig had gemaakt voor de getroffen accounts die vóór 11 juni 2013 op het oude Myspace-platform waren gemaakt.” Het ging verder met te zeggen dat het “gebruik maakte van geavanceerde protocollen, waaronder dubbele gezouten hashes” om de accounts van gebruikers te beschermen.

Dergelijke inspanningen worden onbelangrijk wanneer het mogelijk is om de controle over een account te krijgen met wat basisinformatie en geen kennis van het wachtwoord.

“Myspace is een voorbeeld van het soort slordige beveiliging waar veel sites aan lijden – slechte implementatie van controles, gebrek aan validatie van gebruikersinvoer, en nul verantwoording,” concludeerde Galloway. “Hoewel Myspace niet langer de nummer één sociale mediasite is, hebben ze een zorgplicht voor gebruikers in het verleden en het heden.”

Galloway vertelde El Reg dat Myspace “als een kerkhof van persoonlijke gegevens” was. Degenen die nog steeds een account op Myspace hebben, moeten het onmiddellijk verwijderen, adviseerde ze.

Myspace was een Web 2.0-goliath, met een sterke nadruk op muziek: het was een schreeuwende, lelijke internetspeeltuin voor fans en niet-ondertekende bands. Toen werd het volledig verpletterd door Facebook. Het heeft sindsdien een reeks verschillende eigenaars gehad, waaronder AOL en News Corp.

Het is in populariteit gedaald tot het punt waar het momenteel buiten de top 1.000 Amerikaanse websites staat qua verkeer, en slechts 3.374e wereldwijd, volgens de laatste cijfers van webstatistiekenbureau Alexa. ®

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.