Don' t pánico, pero una falla de seguridad permite que cualquiera acceda a tu Myspace

Poder acceder a una cuenta que no es tuya de esta manera es una falla de seguridad de datos masiva. Como tal, cuando la investigadora de seguridad Leigh-Anne Galloway vio esto mientras intentaba acceder a su antigua cuenta, lo reportó a Myspace. El formulario tenía más campos obligatorios, pero cuando Galloway lo probó, los únicos tres que realmente se necesitaban eran el nombre, el nombre de la cuenta y la fecha de nacimiento.

Hack de Myspace no entres en pánico, pero un defecto de seguridad permite que cualquiera acceda a tu cuenta
Leigh-Anne Galloway

«Envié un correo electrónico a Myspace en abril documentando esta vulnerabilidad y no recibí nada más que una respuesta automatizada», escribió en una publicación de blog que detalla los hallazgos. Desde que se publicó la historia, Myspace ha respondido y eliminado su antigua página de recuperación de cuentas, pero el hecho de que la debilidad existiera en primer lugar sigue siendo preocupante.

Suscribirse a WIRED

«Quizás esta situación no es sorprendente, ya que la mayoría de nosotros ya no usamos Myspace», continuó el post. «Entonces, ¿por qué importa esto? Myspace es un ejemplo del tipo de seguridad descuidada que sufren muchos sitios, la implementación deficiente de los controles, la falta de validación de las entradas de los usuarios y la responsabilidad cero.»

El incidente ni siquiera es la primera vez que Myspace ha tenido problemas de seguridad en el último año. La actualización más reciente de la red social (publicada el 31 de mayo de 2016) detalla cómo se vendían en línea datos de usuarios «robados». Se informó que 360 millones de cuentas tenían detalles sobre ellas compartidos.

«Las direcciones de correo electrónico, los nombres de usuario de Myspace y las contraseñas de Myspace para las cuentas de Myspace afectadas creadas antes del 11 de junio de 2013 en la antigua plataforma de Myspace están en riesgo», explicó Myspace. En respuesta, la compañía dijo que había informado de la violación a la policía y «invalidó» todas las contraseñas creadas antes de 2013, lo que llevó a la situación actual.

El defecto de seguridad destacado por Galloway es solo el último de una serie de datos de usuarios antiguos de sitios web históricos expuestos. Como detalló el investigador de seguridad australiano Troy Hunt en 2016, ha habido un aumento en las» mega brechas históricas», incluidas LinkedIn, MySpace y Tumblr.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.