MySpace-accounts maandenlang gemakkelijk te hacken

Galloway stuurde haar eerste bericht over de beveiligingsfout in april naar MySpace, maar kreeg geen reactie. MySpace ondernam pas actie nadat Galloway gisteren een blog publiceerde over de lekke beveiliging van het sociale netwerk.

Geboortedatum

Hackers konden gemakkelijk toegang krijgen tot iemands account via de herstelpagina die je normaal gebruikt als je je wachtwoord bent vergeten. Om toegang te krijgen tot een account vroeg MySpace om de gebruikersnaam, het e-mailadres, de echte naam en de geboortedatum van een gebruiker. 

De naam van de gebruiker en zijn gebruikersnaam zijn allebei terug te vinden op elk publiek MySpace-profiel. MySpace controleerde niet of het juiste e-mailadres was ingevoerd bij de accountverificatie, schrijft The Verge op basis van eigen onderzoek. Het enige wat je dus echt nodig had was een geboortedatum en zoals The Verge schrijft: met een beetje onderzoek is het niet moeilijk om daar achter te komen.

Zodra alle gegevens waren ingevuld kon je meteen het wachtwoord en e-mailadres aanpassen. Het was vervolgens vrijwel onmogelijk voor de eigenaar van de account om toegang tot zijn profiel te krijgen. 

Extra security-check

Naar aanleiding van de berichtgeving haalde MySpace haar hele herstelpagina offline en liet The Verge weten dat ze een extra security-check had ingevoerd. Wat die check precies is nog niet zichtbaar op de site, omdat de herstelpagina dus offline is gehaald. 

MySpace verloor na de introductie van Facebook aan populariteit. Het is dus nog maar de vraag hoeveel mensen hun MySpace-account nog daadwerkelijk gebruiken. Desondanks raadt Galloway mensen in haar blog aan om hun MySpace-account te verwijderen.