Har du glömt ditt Myspace-lösenord? Bara ett namn, användarnamn, DoB får dig in – och alla andra också

Posted by admin Articles

Myspaces process för återställning av konton är hopplöst bristfällig, enligt en säkerhetsforskare.

Positive Technologies’ Leigh-Anne Galloway snubblade över problemet när hon försökte få tillgång till och radera sitt konto i april.

”Jag upptäckte en affärsprocess som är så bristfällig att den förtjänar en egen plats i historien”, förklarade hon i ett blogginlägg som publicerades i måndags.

Myspace kräver endast ett giltigt namn, användarnamn och födelsedatum som är kopplat till ett konto för att återfå åtkomst till det kontot – och det är allt. Ingen e-postbekräftelse. Andra uppgifter efterfrågas i återställningsformuläret, men det är inte nödvändigt att fylla i dem för att ändra lösenordet och få kontroll över ett konto, upptäckte Galloway.

Trots att han påpekade problemet för Myspace för flera veckor sedan, har allt Galloway fått sedan dess varit ett automatiserat svar. Myspace har inte löst problemet, vilket en annan säkerhetsforskare, Scott Helm, bekräftade i slutet av förra veckan.

Han berättade för El Reg: ”För att återställa ett konto på Myspace krävs det skrämmande lite information – det värsta är att de inte verifierar e-postfälten. Du kan återställa med fullständigt namn och användarnamn, som du kan få från profilsidan, och födelsedatum, som lätt kan hittas eller gissas.”

Sårbarheten gör det möjligt för vem som helst att få tillgång till alla Myspace-konton, med bara dessa tre delar av informationen. El Reg har kontaktat Myspace ägare Time Inc för en kommentar. Vi har ännu inte fått svar.

Är det verkligen relevant?

Myspace är inte längre det megamonster för sociala nätverk som det en gång var, men det är ingen ursäkt för dålig säkerhet. Ändå framkom det förra året att man lyckades läcka uppgifter om 360 miljoner Myspace-konton.

Som svar på onlineförsäljningen av användarnas stulna inloggningsuppgifter sa Myspace att man hade ”ogiltigförklarat alla användarlösenord för de berörda kontona som skapats före den 11 juni 2013 på den gamla Myspace-plattformen”. Vidare uppgav Myspace att man ”använde avancerade protokoll, inklusive dubbelsaltade hashes” för att skydda användarnas konton.

Dessa ansträngningar blir meningslösa när det är möjligt att få kontroll över ett konto med viss grundläggande information och utan att känna till lösenordet.

”Myspace är ett exempel på den typ av slarvig säkerhet som många webbplatser lider av – dålig implementering av kontroller, brist på validering av användarinmatning och noll ansvarsskyldighet”, avslutade Galloway. ”Även om Myspace inte längre är den främsta webbplatsen för sociala medier har de en omsorgsplikt gentemot tidigare och nuvarande användare.”

Galloway sade till El Reg att Myspace var ”som en kyrkogård för personuppgifter”. De som fortfarande har ett konto på Myspace bör radera det omedelbart, rådde hon.

Myspace var en goliat på Web 2.0, med stark betoning på musik: det var en skrikande, ful internetlekplats för fans och osignerade band. Sedan krossades det helt och hållet av Facebook. Det har sedan dess gått igenom en rad olika ägare, bland annat AOL och News Corp.

Det har minskat i popularitet till den grad att det för närvarande ligger utanför de 1 000 bästa amerikanska webbplatserna sett till trafiken, och bara på 3 374:e plats globalt sett, enligt de senaste siffrorna från webbstatistikbyrån Alexa. ®

Lämna ett svar

Din e-postadress kommer inte publiceras.