Tom, o seu primeiro amigo no MySpace, fonte: The Next Web |
Cerca de 10 anos, ter uma conta no Myspace era essencial, algo como um rito essencial de passagem. Foram anos em que os jovens dedicaram a personalizar cuidadosamente o CSS em seus perfis, além de classificar os amigos nas oito melhores listas e escolher a faixa de pop-punk perfeitamente mais angustiante para reproduzir automaticamente. Ademais, era o lugar perfeito para a divulgação de artistas e das suas bandas.
Hoje o Myspace é uma relíquia do passado. Está esquecido, mas ainda vive em um estado moribundo. Embora ninguém mais atualize seus perfis, eles ainda estão lá, ignorados e não amados.
O Myspace, ciente de que muitas pessoas perderam o acesso às contas de e-mail associadas aos seus perfis, oferece uma ferramenta que permite que você as recupere. Você simplesmente deve verificar sua identidade fornecendo algumas informações.
Infelizmente, de acordo com informações compartilhadas exclusivamente com o site TNW pela pesquisadora de segurança Leigh-Anne Galloway, este processo é profundamente falho e faz com que fique trivialmente fácil qualquer um obter acesso não autorizado a qualquer conta.
Quando você recupera uma conta Myspace perdida há muito tempo, é solicitado o fornecimento das informações sobre a conta. O Myspace diz que quanto mais informações você fornecer, maior a chance de você voltar a entrar.
fonte: The Next Web |
Então, o que você precisa para entrar na conta? Pelo jeito, não muito. O Myspace solicita um endereço de e-mail atual, bem como o endereço de e-mail registrado na conta, só que ele não valida isso.
Ele valida apenas três informações: nome, nome de usuário e data de nascimento.
Os nomes são encontrados no próprio perfil e você pode deduzir o nome de usuário pelo URL (então, para myspace.com/crazyseawolf, crazyseawolf é o nome de usuário). A única parte complicada é a data de nascimento, embora você possa descobrir isso ao pesquisar outros sites de redes sociais, ou inventar uma...
Uma vez que você tenha obtido essas três informações, você pode invadir uma conta do Myspace.
Péssimo. Galloway, que trabalha como Líder da Cyber Security Resilience, na Positive Technologies, descreveu este processo como "tão defeituoso que merece um lugar na história". E quem não concorda com ela?
Seguindo as melhores práticas de divulgação responsável, Galloway informou o Myspace da vulnerabilidade em abril deste mês. A empresa enviou uma resposta automatizada, e parece não ter agido.
Essa inércia forçou Galloway a agir em suas mãos, e ela divulgou publicamente a vulnerabilidade enquanto ainda existe em uma postagem de seu blog, It's not Yourspace, it's Myspace. Ela disse que o Myspace é "um exemplo do tipo de segurança desleixada que muitos sites sofrem", citando "má implementação de controles, falta de validação de entrada do usuário e responsabilidade zero".
Ela também incentivou qualquer pessoa com a capacidade de excluir sua conta para fazê-lo, dizendo "enquanto o Myspace já não é o primeiro número de mídia social, eles têm um dever de cuidado para os usuários passados e presentes".
O Myspace tem um registro de xadrez quando se trata de segurança. No ano passado, a empresa confirmou o vazamento de 360 milhões de contas de usuários. Os pesquisadores acreditam que esta é uma das maiores violações de dados de todos os tempos.
O TNW entrou em contato com o Myspace e ainda não obteve resposta.
O meu Myspace ainda está lá, bonitinho conforme deixei anos atrás. Nesse ínterim, deve ter havido troca de layout mas ele continua firme e forte. Pena que a rede social esteja agonizando...
A última vez que devo ter atualizado o MySpace foi quando coloquei o link deste blog, cerca de uns 8 anos atrás... |
fonte: The Next Web