MySpace: vecchi account si potevano bucare conoscendo la data di nascita

Se non hai ancora cancellato il tuo vecchio account MySpace, e questo vaga ancora nei meandri di internet, potrebbe essere arrivato il momento di farlo. Il pericolo è stato appena scongiurato dalla società, ma per un lungo periodo di tempo è stato semplicissimo bucare i vari account del servizio. A rivelare l'opportunità è stata Leigh-Anne Galloway, ricercatrice di sicurezza che ha pubblicato i dettagli della vulnerabilità sul blog personale dopo mesi di tentativi in cui ha cercato di convincere i tecnici della società a sistemare il problema.

Solo dopo che la vulnerabilità è stata diffusa sul web Viant (la società che si occupa del servizio) è scesa in campo per rimuoverla. Il problema nella sicurezza derivava dalla pagina di recupero dell'account, che consentiva agli utenti che avevano perso le credenziali di accesso conoscendo un numero minimo di informazioni personali. La pagina chiedeva il nome dell'utente, l'username, l'indirizzo e-mail originale e la data di nascita. La ricercatrice ha però scoperto che in realtà era sufficiente conoscere solo l'ultimo dettaglio per guadagnare l'accesso!

Questo perché nome del proprietario e username erano pubblicamente visibili sulla pagina profilo, e il form del recupero password di Myspace non verificava realmente se l'indirizzo e-mail inserito fosse effettivamente corretto. La falla è stata successivamente verificata anche da altre fonti e dalla stampa internazionale, che hanno confermato l'attendibilità e il corretto funzionamento del semplicissimo exploit. Insomma, bastava conoscere la data di nascita dell'utente per guadagnare l'accesso ad ogni account presente sul vecchio social network.

Una volta offerta l'informazione, infatti, il servizio garantiva l'accesso all'account chiedendo all'utente di fornire una nuova password e dando l'opportunità di cambiare l'indirizzo e-mail associato, ed anche la data di nascita. Galloway ha cercato di contattare Myspace già dallo scorso aprile, non ricevendo alcuna risposta fino alle scorse ore dopo aver diffuso pubblicamente l'exploit. Una volta diventato pubblico Viant ha rilasciato una nota in cui si può leggere che è stato "inserito uno step aggiuntivo nella verifica per evitare accessi impropri".

Myspace non ha più una solida base d'utenza e, dopo essere stato battuto da Facebook ed altri social network, si è riciclato come aggregatore di news. Tuttavia al suo interno potrebbero essere presenti ancora informazioni sensibili degli utenti e Galloway sottolinea che nessun sito dovrebbe sminuire in questo modo l'importanza della sicurezza: "Myspace è un esempio di scarsa sicurezza di cui molti siti purtroppo ancora oggi soffrono, ad esempio implementando controlli poco profondi e mancando di verifiche efficaci e di responsabilità", ha dichiarato la ricercatrice.