Чужой аккаунт MySpace может захватить любой желающий

MySpace уже давно перестал быть популярной социальной сетью, и жизнь на страницах сайта не кипит, как это было раньше, в начале 2000-х годов. В последнее время о MySpace можно услышать разве что в контексте проблем с безопасностью. К примеру, в 2016 году в сеть утекла база данных, содержащая 427 484 128 паролей и 360 213 024 почтовых адреса пользователей.

Еще в апреле 2017 года специалистка Positive Technologies Ли-Энн Галловей (Leigh-Anne Galloway) обнаружила на сайте MySpace новую проблему. Так как достучаться до разработчиков компании Галловей не удалось, в понедельник, 17 июля 2017 года, она опубликовала в своем блоге материал, подробно рассказывающий о проблеме. Галловей пишет, что процесс восстановления аккаунта на сайте MySpace настолько «дыряв», что определенно заслуживает собственного места в истории.

Проблема заключается в том, что форма восстановления аккаунта для пользователей, которые утратили доступ к своей учетной записи и привязанному к ней email-адресу, позволяла указать только полное имя, юзернейм и дату рождения. Этого было достаточно для восстановления или перехвата доступа к любой учетной записи. Никаких подтверждений по телефону или почте, никакой дополнительной информации. Можно понять удивление специалистки, ведь полное имя и юзернейм можно увидеть в самом профиле пользователя, а дата рождения находится через поисковик за две минуты или легко подбирается.

Как это часто бывает, внимание разработчиков к проблеме смогли привлечь только СМИ, которые живо заинтересовались находкой Галловей. В результате, сегодня, 18 июля 2017 года, MySpace отключила уязвимую форму восстановления аккаунта. Оригинальный URL теперь имеет редирект на совсем другую страницу, а пользователям, которые хотят восстановить доступ к своей старой учетной записи, придется заполнить специальную форму. Разработчики заверили журналистов, что относятся к защите данных очень серьезно и планируют работать над вопросами безопасности и далее.