Myspace’s account recovery process is hopelessly flawed, according to a security researcher.

Positive Technologies’ Leigh-Anne Galloway stumbled on the issue in the process of attempting to gain access and delete her account back in April.

„Odkryłam proces biznesowy tak wadliwy, że zasługuje na swoje miejsce w historii”, wyjaśniła w poście na blogu, opublikowanym w poniedziałek.

Myspace wymaga tylko ważnego nazwiska, nazwy użytkownika i daty urodzenia związanej z kontem, aby odzyskać dostęp do tego konta – i to wszystko. Nie ma potwierdzenia pocztą elektroniczną. Inne szczegóły są wymagane w formularzu odzyskiwania, ale wypełnienie ich nie jest konieczne w celu zmiany hasła i uzyskania kontroli nad kontem, Galloway odkrył.

Pomimo zgłoszenia problemu do Myspace tygodnie temu, wszystko, co Galloway otrzymał od tego czasu, to automatyczna odpowiedź. Myspace nie rozwiązał problemu, inny badacz bezpieczeństwa, Scott Helm, zweryfikował go pod koniec zeszłego tygodnia.

Powiedział El Reg: „Odzyskiwanie konta na Myspace wymaga strasznie mało informacji – jeszcze gorsze jest to, że nie weryfikują pól e-mail. Możesz zresetować z pełnym imieniem i nazwiskiem oraz nazwą użytkownika, które można uzyskać ze strony profilu, a także datą urodzenia, którą można łatwo znaleźć lub odgadnąć.”

Luka pozwala każdemu na dostęp do dowolnego konta Myspace, tylko z tymi trzema informacjami. El Reg zwrócił się do właściciela Myspace, firmy Time Inc, z prośbą o komentarz. Jeszcze nie otrzymaliśmy odpowiedzi.

Czy to naprawdę istotne?

Myspace nie jest już sieci społecznej mega-monster to kiedyś było, choć to „nie jest usprawiedliwienie dla słabego bezpieczeństwa. A jednak w zeszłym roku okazało się, że udało mu się wyciec dane 360 milionów kont Myspace.

W odpowiedzi na sprzedaż online skradzionych danych uwierzytelniających użytkowników, Myspace powiedział, że „unieważnił wszystkie hasła użytkowników dla dotkniętych kont utworzonych przed 11 czerwca 2013 r. na starej platformie Myspace”. It went on to say that it was „utilizing advanced protocols including double salted hashes” in order to protect users’ accounts.

Such efforts are rendered moot when it’s possible to gain control of an account with some basic info and no knowledge of the password.

„Myspace jest przykładem niechlujnego zabezpieczenia, na które cierpi wiele witryn – słabe wdrożenie kontroli, brak walidacji danych wejściowych użytkownika i zerowa odpowiedzialność” – podsumował Galloway. „Podczas gdy Myspace nie jest już numerem jeden w mediach społecznościowych, mają obowiązek opieki nad użytkownikami przeszłymi i obecnymi.”

Galloway powiedział El Reg, że Myspace był „jak cmentarz danych osobowych”. Ci, którzy wciąż mają konto na Myspace powinni je natychmiast usunąć, radziła.

Myspace był goliatem Web 2.0, z silnym naciskiem na muzykę: był to krzyczący, brzydki internetowy plac zabaw dla fanów i niepodpisanych zespołów. Potem został całkowicie zmiażdżony przez Facebooka. To przeszedł przez serię różnych właścicieli od, w tym AOL i News Corp między innymi.

To spadła popularność do punktu, w którym jest obecnie oceniane poza 1,000 najlepszych stron internetowych USA przez ruch, a tylko 3,374th globalnie, zgodnie z najnowszymi danymi z internetowej agencji statystyk Alexa. ®