Простая методика, которая позволяет заполучить доступ к любому аккаунту в MySpace, обнаружена исследователем информационной безопасности Ли-Энн Гэллоуэй.
Для того, чтобы украсть чужую учетную запись, нужно просто знать имя, на которое аккаунт был зарегистрирован, а также имя пользователя и дату его рождения. Гэллоуэй сообщила в MySpace о проблеме в апреле, но так как администрация социальной сети проигнорировала поступившую информацию, сведения об уязвимости были обнародованы исследователем.
Причиной проблемы является то, что форма для восстановления пароля аккаунта в MySpace запрашивает слишком малый объем информации для подтверждения личности владельца учетной записи. Чтобы поменять пароль, нужно просто ввести полное имя человека, имя пользователя и дату рождения. В случае с именами, все не так сложно, поскольку они находятся в открытом доступе, а потому хакер должен просто выяснить дату рождения пользователя. Остальные поля в форме рекомендуется заполнять, но в действительности проверка упомянутых там сведений не осуществляется.
17 июля администрация MySpace перенастроила URL-адрес для восстановления пароля, по которому теперь нельзя перейти на уязвимую форму. Таким образом, можно сделать вывод, что в MySpace знают о сложившейся ситуации.
