AGGIORNAMENTO ore 9:20:

MySpace ha da poco rimosso la pagina per il recupero della password, eliminando all'origine il rischio per la sicurezza dei dati personali.

Post originale

Non tutti se lo ricorderanno, ma per un breve periodo prima dell'avvento di Facebook e Twitter MySpace è stato IL social network. Probabilmente molti di coloro che usavano internet in tempi in cui una connessione ADSL a 640 kbps era un sogno proibito avranno ancora un account, inattivo da chissà quanti anni.

Una ricercatrice di sicurezza ha però scoperto che per un malintenzionato impossessarsene è fin troppo facile. La pagina contenente la procedura di recupero password chiede semplicemente il nome reale dell'utente, il nickname su MySpace, l'indirizzo di posta elettronica e la data di nascita. I primi due dati sono quasi sempre visibili nella pagina pubblica dell'account, e l'indirizzo email non viene verificato. In altre parole, l'unica informazione che bisogna carpire è la data di nascita. Non certo difficile da reperire: per la maggior parte delle persone, al giorno d'oggi, è sufficiente dare un'occhiata rapida al loro profilo Facebook.

Come probabilmente saprete, i ricercatori di sicurezza prima avvisano privatamente le compagnie oggetto della falla di sicurezza, per dare loro il tempo di risolverla, e dopo un po' divulgano il tutto in pubblico. In genere l'intervallo temporale non è molto ampio, proprio per incoraggiare gli sviluppatori a procedere in fretta - prima che la scopra qualcuno con intenzioni molto meno oneste. In questo caso dal primo contatto privato con MySpace sono passati circa tre mesi, ma gli attuali responsabili del social ormai quasi fantasma si sono sempre rifiutati di rispondere.

Quindi, per capirci, la vulnerabilità è ancora presente e ora chiunque la può sfruttare. L'aspetto positivo è che ormai MySpace non lo usa più nessuno, e quindi non c'è molto interesse a rubare un account. Anzi, magari per qualcuno potrebbe essere l'occasione ideale per chiudere definitivamente il proprio.