La page de récupération de compte de MySpace n’a besoin que de la date de naissance de l’utilisateur pour ouvrir l’accès d’un compte.

Crédit photo : Screenshot http://bit.ly/2tchNY1
Crédit photo : Screenshot http://bit.ly/2tchNY1

L’experte en sécurité Leigh-Anne Galloway a alerté les utilisateurs de MySpace sur la sécurité de leur compte. Une alerte qui a poussé la plateforme à modifier la page en question.

La faille était accessible via la page de récupération d’un compte, que vous consultez lorsque vous oubliez votre mot de passe par exemple. Quatre informations étaient nécessaires pour ouvrir l’accès au compte : le nom du titulaire du compte, son nom d’utilisateur, son adresse électronique et sa date de naissance.

Mais concrètement, le nom du titulaire du compte et son nom d’utilisateur sont disponibles directement sur le profil. Du côté de l’adresse e-mail la plateforme indiquait que cette donnée était indispensable pour récupérer les données du compte, mais Leigh-Anne Galloway a tenté d’introduire une adresse fictive (email@whateveremail.com) : elle obtient l’accès à son compte. Il ne reste donc qu’à trouver la date de naissance d’un utilisateur pour avoir accès à son compte.

Leigh-Anne Galloway avait signalé en avril dernier ce défaut auprès de MySpace, sans obtenir de réponse. Pour l’experte en sécurité Myspace est un exemple du type de sécurité bâclée dont beaucoup de sites souffrent, de la mauvaise mise en œuvre des contrôles, du manque de validation des entrées des utilisateurs et de la responsabilité zéro.

Un porte-parole de Viant, la société mère de Myspace, a déclaré au site TheVerge que la plateforme avait amélioré le processus en ajoutant une étape de vérification supplémentaire et que les équipes continuaient à affiner et améliorer ce processus.

Pour le moment, la page de récupération de compte a été supprimée.