‘Accountherstelfunctie geeft eenvoudig toegang tot MySpace-accounts van derden’

Wachtwoord (bron: FreeImages.com/Sufi Nawaz)

Kwaadwillenden kunnen via de accountherstelfunctie toegang krijgen tot MySpace-accounts van derden. Deze functie blijkt namelijk slecht beveiligd te zijn en uitsluitend om informatie te vragen die relatief eenvoudig via internet te vinden is.

Dit meldt onderzoeker Leigh-Anne Galloway. MySpace was ooit één van de grootste sociale netwerken op internet, maar heeft fors aan populariteit ingeleverd. Tegenwoordig is het platform vooral gericht op muziek en entertainment.

Slecht beveiligd

Galloway wijst erop dat de accountherstelfunctionaliteit van de website slecht beveiligd is. Gebruikers kunnen via deze functie de toegang tot hun account herstellen door persoonlijke informatie te verstrekken. In de praktijk worden echter alleen de gebruikersnaam, naam en geboortedatum van gebruikers gecontroleerd.

De onderzoeker waarschuwt dat de gebruikersnaam terug te vinden is in de URL van het MySpace-profiel, terwijl de naam van gebruikers via Google eenvoudig op te zoeken is. De geboortedatum is volgens Galloway moeilijker te achterhalen, maar ook dit is in veel gevallen mogelijk. Met deze informatie kan iedere kwaadwillende toegang verkrijgen tot het account van een MySpace-gebruiker.

‘Verwijder uw account zo snel mogelijk’

Galloway stelt MySpace in april al te hebben gewaarschuwd voor het beveiligingsprobleem, maar hier nooit een inhoudelijke reactie op te hebben gekregen. Om MySpace tot actie te dwingen maakt de onderzoeker haar bevindingen nu openbaar. De onderzoeker adviseert gebruikers hun MySpace-account zo snel mogelijk te verwijderen.

Het is niet de eerste keer dat MySpace wordt getroffen door een beveiligingsincident. In 2016 bevestigde MySpace dat een aanvaller gegevens van 360 miljoen gebruikers had gestolen. Het ging hierbij om accounts die voor 11 juni 2013 zijn aangemaakt. Om misbruik te voorkomen zijn de wachtwoorden van deze accounts gereset.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *