MySpace уже давно перестал быть популярной социальной сетью, и жизнь на страницах сайта не кипит, как это было раньше, в начале 2000-х годов. В последнее время о MySpace можно услышать разве что в контексте проблем с безопасностью. К примеру, в 2016 году в сеть утекла база данных, содержащая 427 484 128 паролей и 360 213 024 почтовых адреса пользователей.

Еще в апреле 2017 года специалистка Positive Technologies Ли-Энн Галловей (Leigh-Anne Galloway) обнаружила на сайте MySpace новую проблему. Так как достучаться до разработчиков компании Галловей не удалось, в понедельник, 17 июля 2017 года, она опубликовала в своем блоге материал, подробно рассказывающий о проблеме. Галловей пишет, что процесс восстановления аккаунта на сайте MySpace настолько «дыряв», что определенно заслуживает собственного места в истории.

Проблема заключается в том, что форма восстановления аккаунта для пользователей, которые утратили доступ к своей учетной записи и привязанному к ней email-адресу, позволяла указать только полное имя, юзернейм и дату рождения. Этого было достаточно для восстановления или перехвата доступа к любой учетной записи. Никаких подтверждений по телефону или почте, никакой дополнительной информации. Можно понять удивление специалистки, ведь полное имя и юзернейм можно увидеть в самом профиле пользователя, а дата рождения находится через поисковик за две минуты или легко подбирается.

«На компаниях лежит ответственность, они обязаны заботиться о пользователях прошлых и  настоящих. Myspace – это огромное кладбище личных данных. Если вам нужно прекратить существование приложения или сайта, стоит делать это, имея какой-то план», — пишет Галловей.

Как это часто бывает, внимание разработчиков к проблеме смогли привлечь только СМИ, которые живо заинтересовались находкой Галловей. В результате, сегодня, 18 июля 2017 года, MySpace отключила уязвимую форму восстановления аккаунта. Оригинальный URL теперь имеет редирект на совсем другую страницу, а пользователям, которые хотят восстановить доступ к своей старой учетной записи, придется заполнить специальную форму. Разработчики заверили журналистов, что относятся к защите данных очень серьезно и планируют работать над вопросами безопасности и далее.



4 комментария

  1. Themistocles

    19.07.2017 at 09:50

    Удивительно что его ещё не закрыли.

  2. Int

    20.07.2017 at 14:21

    Как быть с тем, что пароль сбрасывается на привязанную к аккаунту почту? Ли-Энн Галловей предлагает сначала почту ломануть? Так, это тогда много где можно пароли посбрасывать, обычно-то кроме почтового адреса ничего больше не требуется.

Оставить мнение