Ser capaz de acessar uma conta que não é seu isso facilmente é um maciço de dados, falha de segurança. Como tal, quando a pesquisadora de segurança Leigh-Anne Galloway viu isso enquanto tentava acessar sua conta antiga, ela relatou isso ao Myspace. O formulário tinha mais campos obrigatórios, mas quando testado por Galloway, os únicos três que eram realmente necessários eram nome, nome da conta e data de nascimento.
“enviei um e-mail para o Myspace, em abril de documentar esta vulnerabilidade e não recebeu nada mais do que uma resposta automática,” ela escreveu em um post de blog detalhando os resultados. Desde que a história quebrou, o Myspace respondeu e removeu sua antiga Página de recuperação de conta, mas o fato de que a fraqueza existia em primeiro lugar ainda é preocupante.
Inscreva-se no WIRED
“talvez essa situação não seja surpreendente, pois a maioria de nós não usa mais o Myspace”, continuou o post. “Então, por que isso importa? O Myspace é um exemplo do tipo de segurança desleixada que muitos sites sofrem, má implementação de controles, falta de validação de entrada do Usuário e responsabilidade zero.”O incidente não é a primeira vez que o Myspace teve problemas de segurança no ano passado. A atualização mais recente da rede social (publicada em 31 de Maio de 2016) detalha como os dados do Usuário “roubados” estavam sendo vendidos online. Foi relatado que 360 milhões de contas tinham detalhes sobre elas compartilhadas.
“endereços de E-mail, nomes de usuário do Myspace e senhas do Myspace para as contas afetadas do Myspace criadas antes de 11 de junho de 2013 na antiga plataforma do Myspace estão em risco”, explicou o Myspace. Em resposta, a empresa disse que relatou a violação à aplicação da lei e “invalidou” todas as senhas criadas antes de 2013 – levando à situação atual.
a falha de segurança destacada pela Galloway é apenas a mais recente de uma série de dados de usuários antigos de sites históricos sendo expostos. Como o Pesquisador de segurança Australiano Troy Hunt detalhou em 2016, houve um aumento nas “Mega violações históricas” – incluindo LinkedIn, MySpace e Tumblr.