Esqueceste a tua senha do Myspace? Apenas um nome, nome de usuário, DoB irá colocá-lo dentro – e dentro de qualquer outra pessoa, também

Posted by admin Articles

O processo de recuperação da conta Myspace é irremediavelmente falho, de acordo com um pesquisador de segurança.

Leigh-Anne Galloway, da Positive Technologies, tropeçou no assunto no processo de tentativa de obter acesso e excluir sua conta em abril.

“Descobri um processo comercial tão falho que merece um lugar próprio na história”, explicou ela em um post de blog, publicado na segunda-feira.

O meu espaço só requer um nome válido, nome de usuário e data de nascimento associados a uma conta para recuperar o acesso a essa conta – e é isso. Sem confirmação por e-mail. Outros detalhes são solicitados no formulário de recuperação, mas o seu preenchimento não é necessário para alterar a senha e obter o controle de uma conta, Galloway descobriu.

Embora tenha sinalizado o problema para o Myspace semanas atrás, tudo o que Galloway recebeu desde então tem sido uma resposta automática. O Myspace não resolveu o problema, outro pesquisador de segurança, Scott Helm, verificou no final da semana passada.

Ele disse ao El Reg: “A recuperação de conta no Myspace leva muito pouca informação – pior ainda é que eles não verificam os campos de e-mail. Você pode redefinir com nome completo e nome de usuário, que você pode obter na página de perfil, e data de nascimento, que pode ser facilmente encontrada ou adivinhada”

A vulnerabilidade permite que qualquer pessoa tenha acesso a qualquer conta no Myspace, com apenas estas três informações. El Reg abordou o dono do Myspace Time Inc para comentários. Nós ainda não ouvimos de volta.

É realmente relevante?

Meu espaço não é mais o mega-monster das redes sociais que já foi, embora isso não seja desculpa para a falta de segurança. E, no entanto, no ano passado, verificou-se que ele conseguiu vazar os detalhes de 360 milhões de contas Myspace.

Em resposta à venda online das credenciais roubadas dos usuários, o Myspace disse que tinha “invalidado todas as senhas de usuários para as contas afetadas criadas antes de 11 de junho de 2013 na antiga plataforma Myspace”. Ele continuou dizendo que estava “utilizando protocolos avançados incluindo hashes com duplo sal” a fim de proteger as contas dos usuários.

Tantos esforços se tornam discutíveis quando é possível ganhar controle de uma conta com algumas informações básicas e nenhum conhecimento da senha.

“O Myspace é um exemplo do tipo de segurança desleixada de que muitos sites sofrem – má implementação de controles, falta de validação de entrada de usuários e nenhuma responsabilidade”, concluiu Galloway. “Embora o Myspace não seja mais o site número um das redes sociais, eles têm o dever de cuidar dos usuários passados e presentes”

Galloway disse ao El Reg que o Myspace era “como um cemitério de dados pessoais”. Aqueles que ainda têm uma conta no Myspace devem apagá-la imediatamente, ela aconselhou.

Myspace era um goliath da Web 2.0, com uma forte ênfase na música: era um playground gritante e feio da internet para fãs e bandas não assinadas. Depois foi completamente esmagado pelo Facebook. Passou por uma série de diferentes proprietários desde então, incluindo AOL e News Corp entre outros.

Diminuiu em popularidade ao ponto de ser atualmente classificado fora dos 1.000 melhores sites dos EUA por tráfego, e apenas 3.374º globalmente, de acordo com os últimos números da agência de estatísticas da web Alexa. ®

Deixe uma resposta

O seu endereço de email não será publicado.