Entrar en cualquier cuenta de MySpace es absurdamente fácil

Entrar en cualquier cuenta de MySpace es absurdamente fácil
Entrar en cualquier cuenta de MySpace resulta ser absurdamente sencillo.


Vale, puede que MySpace no sea la red social más popular del momento; puede que sólo te hayas acordado de que existía gracias a este artículo.

Pero si usabas MySpace, es muy posible que tu cuenta contenga información personal; también es posible que pueda servir para suplantar tu identidad y engañar a tus contactos, por ejemplo. Por todo esto, el descubrimiento de que la seguridad de MySpace deja mucho que desear es descorazonador.

En su momento, MySpace era el sitio en el que tenías que estar; conseguía más visitas que Google y era el equivalente a Facebook en la actualidad. Lamentablemente, MySpace también es un ejemplo de lo que ocurre cuando tus usuarios pasan página y no sabes reaccionar.

En la actualidad, un ínfimo porcentaje de los 1.000 millones de usuarios registrados sigue usando; hay muchas cuentas que han sido abandonadas para siempre, y en ojos de un hacker, ese es un vector de ataque muy jugoso.

Una vez que ganan acceso a una cuenta, pueden usarla para intentar entrar en otros servicios, ejecutar ataques de ingeniería social, y más.

Y lo peor es que entrar en cualquier cuenta de MySpace no es un desafío. Más bien es demasiado fácil, como ha compartido la experta en seguridad Leigh-Anne Galloway. La clave está en aprovecharse de la función para recuperar cuentas de MySpace.

Esta página existe como un intento de MySpace de recuperar algunos de sus viejos usuarios; la compañía es consciente de que la mayoría de estos usuarios ha perdido la cuenta de correo que usó para registrarse en MySpace hace ya más de una década.

Así que esta página no nos pide la dirección de correo como el resto; sólo requiere nuestra información personal para comprobar que realmente somos quienes decimos ser. Y ahí es donde empiezan los problemas.

No es sólo que la mayoría de estos datos sean fácilmente obtenibles; es que en realidad el sistema sólo comprueba tres datos: el nombre real, el nombre de usuario y la fecha de nacimiento.

Hay otros datos que debemos rellenar, pero el sistema es automatizado; eso significa que ningún empleado leerá lo que ponemos, y el sistema sólo comprobará esos tres datos.

Encontrar el nombre de usuario es bien sencillo; está en la URL de nuestro perfil de MySpace. El nombre real también suele aparecer en el perfil; el único dato que la propia MySpace no nos da es la fecha de nacimiento. Y eso lo podemos conseguir buscando en otras redes sociales.

El sistema no pide nuestra vieja contraseña; en cuanto comprueba que los tres datos concuerdan con lo que tiene en la base de datos, nos envía un correo a la nueva dirección que hemos puesto en el formulario, con el que activar y poner una nueva contraseña a la cuenta.

Lo peor de todo no es esto; en Omicrono hemos hablado de fallos más graves y tontos. Lo peor es que MySpace no tenía ninguna intención de solucionarlo.

Galloway descubrió este problema el pasado abril; y siguiendo las buenas prácticas de los "white hat", hackers éticos,, avisó a la compañía antes de publicar el bug.

Pero sólo recibió una respuesta automatizada de MySpace. Desde entonces, y pese a las insistencias de Galloway, MySpace no cambió su sistema ni respondió a sus descubrimientos. Así que Galloway ha decidido hacerlo por las malas, y publicar sus pesquisas.

Es de imaginar que esto provocará que MySpace por fin solucione el problema; probablemente no tardará mucho en hacer inviable este sistema. Pero eso no quita que la reacción inicial fue muy pobre, e impropia de una compañía que quiere recuperar a los usuarios que huyeron en su momento.

Comparta esta historia