Pouvoir accéder à un compte qui n’est pas le vôtre c’est facilement une faille de sécurité massive des données. En tant que tel, lorsque la chercheuse en sécurité Leigh-Anne Galloway l’a repéré en essayant d’accéder à son ancien compte, elle l’a signalé à Myspace. Le formulaire comportait plus de champs obligatoires, mais lorsqu’il a été testé par Galloway, les trois seuls qui étaient réellement nécessaires étaient le nom, le nom du compte et la date de naissance.
» J’ai envoyé un e-mail à Myspace en avril documentant cette vulnérabilité et je n’ai reçu rien de plus qu’une réponse automatisée « , a-t-elle écrit dans un article de blog détaillant les résultats. Depuis que l’histoire a éclaté, Myspace a répondu et supprimé son ancienne page de récupération de compte, mais le fait que la faiblesse existait en premier lieu est toujours préoccupant.
Abonnez-vous à WIRED
« Cette situation n’est peut-être pas surprenante car la plupart d’entre nous n’utilisent plus Myspace », poursuit le message. « Alors pourquoi cela importe-t-il? Myspace est un exemple du genre de sécurité bâclée dont souffrent de nombreux sites, d’une mauvaise implémentation des contrôles, d’un manque de validation des entrées des utilisateurs et d’une responsabilité nulle. »
L’incident n’est même pas la première fois que Myspace a des problèmes de sécurité au cours de la dernière année. La dernière mise à jour du réseau social (publiée le 31 mai 2016) détaille comment les données utilisateur « volées » étaient vendues en ligne. Il a été rapporté que 360 millions de comptes avaient des détails à leur sujet partagés.
« Les adresses e-mail, les noms d’utilisateur Myspace et les mots de passe Myspace des comptes Myspace concernés créés avant le 11 juin 2013 sur l’ancienne plate-forme Myspace sont à risque », a expliqué Myspace. En réponse, la société a déclaré avoir signalé la violation aux forces de l’ordre et « invalidé » tous les mots de passe créés avant 2013, ce qui a conduit à la situation actuelle.
La faille de sécurité mise en évidence par Galloway n’est que la dernière d’une série d’anciennes données utilisateur provenant de sites Web historiques exposées. Comme l’a détaillé le chercheur en sécurité australien Troy Hunt dans 2016, il y a eu une augmentation des « méga violations historiques » – y compris LinkedIn, MySpace et Tumblr.