Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Lek biedt eenvoudige toegang tot MySpace-accounts'

Door , 21 reacties

Beveiligingsonderzoeker Leigh-Anne Galloway ontdekte tijdens het verwijderen van haar MySpace-account dat accounts van anderen eenvoudig over te nemen zijn. De methode maakt gebruik van de functie voor accountherstel.

Galloway schrijft dat er een mogelijkheid bestaat om een MySpace-account te herstellen, ook al is er geen toegang meer tot een e-mailadres. Zij vond deze mogelijkheid toen zij haar eigen account wilde verwijderen. Op de desbetreffende pagina is het mogelijk om het wachtwoord van een account opnieuw in te stellen door een aantal gegevens in te vullen, waaronder naam, geboortedatum, gebruikersnaam, postcode en stad. De pagina wekt de indruk dat het verzoek door een persoon wordt gecontroleerd.

De onderzoeker ontdekte dat het echter alleen was vereist om de naam, gebruikersnaam en geboortedatum in te vullen. Het huidige e-mailadres wordt daarbij niet gevalideerd. Galloway stelt dat het vrij eenvoudig is om aan de hand van publieke gegevens de benodigde data te achterhalen en zo toegang te krijgen tot willekeurige accounts. Zo komt de gebruikersnaam voor in de url van een profiel en zijn de naam en geboortedatum op andere manieren te achterhalen.

Ze meldde haar bevindingen aan MySpace, maar kreeg alleen een automatisch antwoord. Omdat verder antwoord uitbleef, heeft ze nu haar ontdekking gepubliceerd. Daarbij verwijst ze naar het datalek dat in 2016 aan het licht kwam en waarbij 360 miljoen accountgegevens waren uitgelekt. In de periode daarna zei MySpace dat er maatregelen werden genomen om de beveiliging te verbeteren. Hoewel MySpace als sociaal netwerk niet meer relevant is, is de beveiliging dat wel, aldus Galloway.

Door Sander van Voorst

Nieuwsredacteur

17-07-2017 • 16:57

21 Linkedin Google+

Reacties (21)

Wijzig sortering
Als ik ergens ook maar zo'n beveilingsvraag moet invullen, vul ik ook altijd de grootste onzin in. Onzin die alleen ik kan weten. Vragen als "waar ben je geboren" en wat is je "lievelingsdier" die je serieus gaat beantwoorden kan een kind nog raden. Als je bij lievelingsdier tweehoofdigeunicornslang invult, is het wat lastiger te raden door je buurman ;)
Met gebruik van een passwordmanager is het dan ook aan te raden voor zulke vragen altijd een nieuw gegenereerd wachtwoord te gebruiken, om misbruik te voorkomen.

Ik was alleen verbaasd toen ik mijn bank telefonisch benaderde en zij dergelijke vraag gebruikte voor authenticatie.
Bank: "Wat is de kleur van je.. um.. eerste auto?"
Ik: :/ "f~";SApr+6l!0EX+7T~q2?s1~dV9u|\&:67yAuXh"
bij welke bank zit je? een bank zou nooit zon vragen moeten stellen.
Om die reden heb ik bij de bank maar een random gegenereerde passphrase gebruikt

Iets als "Shantung roguish grimness tau" is wat makkelijker uit te spreken dan "f~";SApr+6l!0EX+7T~q2?s1~dV9u|\&:67yAuXh"
Waarom zou je het willen uitspreken? Dit random antwoord zet je toch gewoon in je password manager? Je gebruikt ze nooit, want je raakt je wachtwoord nooit kwijt.
Wanneer je een bank medewerker aan de telefoon hebt en vraagt wat het antwoord is op de vragen die je eerder hebt beantwoord. 8)7 Ik mag hopen dat het niet zo werkt.
Klopt, doe ik zelf ook op die manier. En natuurlijk overal waar mogelijk 2FA aan.
2FA is prima, zolang ze maar geen gebruik hoeven te maken van mijn telefoonnummer. Mijn huidige 06 heb ik meer dan 12 jaar in bezit en ik zou het zeer vervelend vinden als het in verkeerde handen komt (lees: telemarketeers). Je kunt je wel inschrijven voor het bel-me-niet register, maar dat is iets herstellen wat je mogelijk zelf fout hebt gedaan (inschrijven met je daadwerkelijke gegevens om kans te maken op een gratis ding).
M'n Apple account heeft 50 karakter lange random strings - blijkt dat je die dingen nodig heb om je wachtwoord te veranderen.
Ja maar als je je paswoord vergeten bent en je je beveiliginsvraag beter kunt herinneren dan je password dan zijn die twee dus eigenlijk om gedraait. Ik deed dit vroeger ook met die beveiliginsvragen maar dan 3 jaar later kon ik me echt niet meer herinneren wat ik nu ingevuld had.
Tegenwoordig doe ik het anders met die beveiligingsvragen zodat ik altijd het antwoord weet.
Die laatste zin zegt natuurlijk al alles:
Hoewel MySpace als sociaal netwerk niet meer relevant is, is de beveiliging dat wel, aldus Galloway.
Het is schrijnend dat sommige dingen, zoals een sociaal netwerk, nog steeds zonder hacken en social engineering binnen te dringen zijn. Op zo'n manier kan iedereen dat. Dit is maar een stapje meer werk dan "het wachtwoord al weten" van iemand anders. Ik hoop dat andere bedrijven hun wachtwoordvergetenoptie beter voor elkaar hebben.
Net even uitgeprobeerd, lijkt er op dat ze het hebben aangepast. Op het formulier zijn nu een hoop extra velden verplicht om in te vullen. Even bij die velden dan maar random data ingevoerd. Erna kreeg ik de melding dat ze er naar zullen gaan kijken en dan iets laten weten. Ik heb nog niks terug gehoord via de email.
Nu dit openbaar gemaakt is denk ik wel dat de mensen erachter voorzichtiger zullen zijn.
Al ben ik alsnog benieuwd wat de eventuele reactie zal zijn. (Met name of het je lukt)
Met al die hacks en databases van informatie die daarbij vrij zijn gekomen zijn er gevallen bekend dat gegevens van die databases gecombineerd zijn? En indien ja of die gegevens actief zijn gebruikt/misbruikt?

Als je erover nadenkt zou dat voor mij een redelijke logische stap zijn om een zo compleet mogelijk beeld van gebruikers te krijgen. Je ziet vaak dat mensen verschillende sites en accounts aan elkaar hebben gekoppeld (Twitter, Facebook, etc.) door databases te koppelen kan je een vorm van reverse social engineering toepassen. Met alle gevolgen van dien.
Was MySpace niet iets van Lycos / Tripod?

Want vroeger bij Lycos (praat over jaren 2002 ofzo) was het wachtwoordbeleid al zo slecht dat je de helpdesk kon mailen met:
Hoi Helpdesk, ik ben mijn wachtwoord kwijt van account blaat. Kunnen jullie een nieuwe sturen?
En jawel, even later kreeg je dus een mailtje met daarin het wachtwoord (plain text) met die van je victim. :P
Het is een paar jaar geleden gekocht door Justin Timberlake, maar tegenwoordig eigendom van Time Inc, wat weer een afsplitsing is van Time Warner.

Niet dat het nog wat waard is...
Nee, inderdaad toch geen Lycos. Had altijd al zo'n vermoeden omdat het nooit echt in Europa was doorgebroken.
Myspace was volgens mij van Microsoft
dat die site uberhaupt nog online is :o
doet me nog steeds denken aan die scam mails van vroeger, van hey ik heb je myspace account gezien, wil je vrienden worden,

en dan heb je nog niet eens een account.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*