'Lek biedt eenvoudige toegang tot MySpace-accounts'

Beveiligingsonderzoeker Leigh-Anne Galloway ontdekte tijdens het verwijderen van haar MySpace-account dat accounts van anderen eenvoudig over te nemen zijn. De methode maakt gebruik van de functie voor accountherstel.

myspace account recoveryGalloway schrijft dat er een mogelijkheid bestaat om een MySpace-account te herstellen, ook al is er geen toegang meer tot een e-mailadres. Zij vond deze mogelijkheid toen zij haar eigen account wilde verwijderen. Op de desbetreffende pagina is het mogelijk om het wachtwoord van een account opnieuw in te stellen door een aantal gegevens in te vullen, waaronder naam, geboortedatum, gebruikersnaam, postcode en stad. De pagina wekt de indruk dat het verzoek door een persoon wordt gecontroleerd.

De onderzoeker ontdekte dat het echter alleen was vereist om de naam, gebruikersnaam en geboortedatum in te vullen. Het huidige e-mailadres wordt daarbij niet gevalideerd. Galloway stelt dat het vrij eenvoudig is om aan de hand van publieke gegevens de benodigde data te achterhalen en zo toegang te krijgen tot willekeurige accounts. Zo komt de gebruikersnaam voor in de url van een profiel en zijn de naam en geboortedatum op andere manieren te achterhalen.

Ze meldde haar bevindingen aan MySpace, maar kreeg alleen een automatisch antwoord. Omdat verder antwoord uitbleef, heeft ze nu haar ontdekking gepubliceerd. Daarbij verwijst ze naar het datalek dat in 2016 aan het licht kwam en waarbij 360 miljoen accountgegevens waren uitgelekt. In de periode daarna zei MySpace dat er maatregelen werden genomen om de beveiliging te verbeteren. Hoewel MySpace als sociaal netwerk niet meer relevant is, is de beveiliging dat wel, aldus Galloway.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 17-07-2017 16:57 21

17-07-2017 • 16:57

21

Lees meer

MySpace raakt bestanden ouder dan drie jaar kwijt na servermigratie
MySpace raakt bestanden ouder dan drie jaar kwijt na servermigratie Nieuws van 18 maart 2019
Backdoor gaf toegang tot gegevens van forumleden scholieren.com
Backdoor gaf toegang tot gegevens van forumleden scholieren.com Nieuws van 31 augustus 2017
MySpace bevestigt dat gegevens van 360 miljoen accounts zijn gestolen bij hack
MySpace bevestigt dat gegevens van 360 miljoen accounts zijn gestolen bij hack Nieuws van 1 juni 2016
Myspace werkt aan vernieuwde site
Myspace werkt aan vernieuwde site Nieuws van 25 september 2012
'Vevo geïnteresseerd in overname MySpace'
'Vevo geïnteresseerd in overname MySpace' Nieuws van 29 maart 2011
MySpace verliest in een maand tijd 10 miljoen bezoekers
MySpace verliest in een maand tijd 10 miljoen bezoekers Nieuws van 28 maart 2011
'News Corp. wil van Myspace af'
'News Corp. wil van Myspace af' Nieuws van 15 januari 2011
MySpace bevestigt massa-ontslag
MySpace bevestigt massa-ontslag Nieuws van 12 januari 2011
'MySpace gaat banen schrappen'
'MySpace gaat banen schrappen' Nieuws van 2 januari 2011
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (21)

-Moderatie-faq
21
20
10
1
0
4
Wijzig sortering

Sorteer op:

Weergave:
Executor16 17 juli 2017 17:11
Als ik ergens ook maar zo'n beveilingsvraag moet invullen, vul ik ook altijd de grootste onzin in. Onzin die alleen ik kan weten. Vragen als "waar ben je geboren" en wat is je "lievelingsdier" die je serieus gaat beantwoorden kan een kind nog raden. Als je bij lievelingsdier tweehoofdigeunicornslang invult, is het wat lastiger te raden door je buurman ;)
Nextron @Executor1617 juli 2017 17:37
Met gebruik van een passwordmanager is het dan ook aan te raden voor zulke vragen altijd een nieuw gegenereerd wachtwoord te gebruiken, om misbruik te voorkomen.

Ik was alleen verbaasd toen ik mijn bank telefonisch benaderde en zij dergelijke vraag gebruikte voor authenticatie.
Bank: "Wat is de kleur van je.. um.. eerste auto?"
Ik: :/ "f~";SApr+6l!0EX+7T~q2?s1~dV9u|\&:67yAuXh"
SBTweaker @Nextron17 juli 2017 23:02
bij welke bank zit je? een bank zou nooit zon vragen moeten stellen.
_Eend_ @Nextron17 juli 2017 20:10
Om die reden heb ik bij de bank maar een random gegenereerde passphrase gebruikt

Iets als "Shantung roguish grimness tau" is wat makkelijker uit te spreken dan "f~";SApr+6l!0EX+7T~q2?s1~dV9u|\&:67yAuXh"
Room42 @_Eend_17 juli 2017 22:22
Waarom zou je het willen uitspreken? Dit random antwoord zet je toch gewoon in je password manager? Je gebruikt ze nooit, want je raakt je wachtwoord nooit kwijt.
stevenw64 @Room4218 juli 2017 03:50
Wanneer je een bank medewerker aan de telefoon hebt en vraagt wat het antwoord is op de vragen die je eerder hebt beantwoord. 8)7 Ik mag hopen dat het niet zo werkt.
Executor16 @Nextron17 juli 2017 17:38
Klopt, doe ik zelf ook op die manier. En natuurlijk overal waar mogelijk 2FA aan.
Kiswum @Executor1618 juli 2017 11:28
2FA is prima, zolang ze maar geen gebruik hoeven te maken van mijn telefoonnummer. Mijn huidige 06 heb ik meer dan 12 jaar in bezit en ik zou het zeer vervelend vinden als het in verkeerde handen komt (lees: telemarketeers). Je kunt je wel inschrijven voor het bel-me-niet register, maar dat is iets herstellen wat je mogelijk zelf fout hebt gedaan (inschrijven met je daadwerkelijke gegevens om kans te maken op een gratis ding).
MiesvanderLippe @Executor1617 juli 2017 21:42
M'n Apple account heeft 50 karakter lange random strings - blijkt dat je die dingen nodig heb om je wachtwoord te veranderen.
Kain_niaK @Executor1618 juli 2017 04:03
Ja maar als je je paswoord vergeten bent en je je beveiliginsvraag beter kunt herinneren dan je password dan zijn die twee dus eigenlijk om gedraait. Ik deed dit vroeger ook met die beveiliginsvragen maar dan 3 jaar later kon ik me echt niet meer herinneren wat ik nu ingevuld had.
Tegenwoordig doe ik het anders met die beveiligingsvragen zodat ik altijd het antwoord weet.
Jorgen Moderator Beeld & Geluid 17 juli 2017 17:04
Die laatste zin zegt natuurlijk al alles:
Hoewel MySpace als sociaal netwerk niet meer relevant is, is de beveiliging dat wel, aldus Galloway.
Het is schrijnend dat sommige dingen, zoals een sociaal netwerk, nog steeds zonder hacken en social engineering binnen te dringen zijn. Op zo'n manier kan iedereen dat. Dit is maar een stapje meer werk dan "het wachtwoord al weten" van iemand anders. Ik hoop dat andere bedrijven hun wachtwoordvergetenoptie beter voor elkaar hebben.
lepel 17 juli 2017 17:11
Net even uitgeprobeerd, lijkt er op dat ze het hebben aangepast. Op het formulier zijn nu een hoop extra velden verplicht om in te vullen. Even bij die velden dan maar random data ingevoerd. Erna kreeg ik de melding dat ze er naar zullen gaan kijken en dan iets laten weten. Ik heb nog niks terug gehoord via de email.
jesse! @lepel17 juli 2017 17:13
Nu dit openbaar gemaakt is denk ik wel dat de mensen erachter voorzichtiger zullen zijn.
Al ben ik alsnog benieuwd wat de eventuele reactie zal zijn. (Met name of het je lukt)
Verwijderd 17 juli 2017 17:56
Met al die hacks en databases van informatie die daarbij vrij zijn gekomen zijn er gevallen bekend dat gegevens van die databases gecombineerd zijn? En indien ja of die gegevens actief zijn gebruikt/misbruikt?

Als je erover nadenkt zou dat voor mij een redelijke logische stap zijn om een zo compleet mogelijk beeld van gebruikers te krijgen. Je ziet vaak dat mensen verschillende sites en accounts aan elkaar hebben gekoppeld (Twitter, Facebook, etc.) door databases te koppelen kan je een vorm van reverse social engineering toepassen. Met alle gevolgen van dien.
AW_Bos 17 juli 2017 17:23
Was MySpace niet iets van Lycos / Tripod?

Want vroeger bij Lycos (praat over jaren 2002 ofzo) was het wachtwoordbeleid al zo slecht dat je de helpdesk kon mailen met:
Hoi Helpdesk, ik ben mijn wachtwoord kwijt van account blaat. Kunnen jullie een nieuwe sturen?
En jawel, even later kreeg je dus een mailtje met daarin het wachtwoord (plain text) met die van je victim. :P
Bosmonster @AW_Bos17 juli 2017 17:34
Het is een paar jaar geleden gekocht door Justin Timberlake, maar tegenwoordig eigendom van Time Inc, wat weer een afsplitsing is van Time Warner.

Niet dat het nog wat waard is...
AW_Bos @Bosmonster17 juli 2017 17:36
Nee, inderdaad toch geen Lycos. Had altijd al zo'n vermoeden omdat het nooit echt in Europa was doorgebroken.
IndoBoy @AW_Bos19 juli 2017 01:20
Myspace was volgens mij van Microsoft
JWL92 17 juli 2017 17:29
dat die site uberhaupt nog online is :o
darknessblade @JWL9217 juli 2017 21:53
doet me nog steeds denken aan die scam mails van vroeger, van hey ik heb je myspace account gezien, wil je vrienden worden,

en dan heb je nog niet eens een account.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq