MySpace, dat op de loer ligt in de vernietiging van de internetgeschiedenis, was misschien wel de eerste grote sociale netwerksite. Het had miljoenen actieve gebruikers en had een aanzienlijke culturele impact. Terwijl sommigen het gebruikten om volgers en een carrière te vinden (waaronder Lily Allen, Calvin Harris en Adele), waren de meesten tevreden met het kiezen van een leuk achtergrondbehang en het maken van een interessante biografie.

MySpace is grotendeels vergeten – dat wil zeggen, het staat niet centraal in het publieke bewustzijn. Het is vervangen door Facebook en Twitter. En ja, hij draait nog steeds.

Erger nog, MySpace is je niet vergeten. En het kan al uw privégegevens lekken.

Wat komt er terug om je te achtervolgen?

Beveiligingscontroles op grote sites zijn tegenwoordig over het algemeen behoorlijk streng. U kunt erop vertrouwen dat zij de juiste voorzorgsmaatregelen nemen om uw wachtwoord en al uw persoonlijke gegevens privé te houden. Dat is hoe het moet zijn.

Om toegang te krijgen tot uw oude MySpace en de controle over te nemen, heeft een hacker sinds de hoogtijdagen van de site alleen uw naam, gebruikersnaam en geboortedatum nodig. Ze hebben geen wachtwoord of zelfs validatie via een e-mailadres nodig.

Deze beveiligingsfout kwam via de pagina “Accountherstel”. Er moet veel meer aandacht aan worden besteed: het bedrijf heeft een rebranding ondergaan waarvan het hoopt dat het oude gebruikers terugtrekt, dus het herstellen van een account is essentieel.

myspace-accountherstel

Je zou denken dat zodra een verzoek is gedaan, het op zijn minst een soort verificatie naar het bijbehorende adres zou e-mailen voordat toegang wordt verleend. In plaats daarvan heeft het alleen direct beschikbare informatie nodig.

Een naam is zo eenvoudig te achterhalen, net als uw gebruikersnaam — eigenlijk in de profiel-URL, hoewel u deze waarschijnlijk zelf al bent vergeten! Ondertussen kan je geboortedatum beschikbaar zijn via verschillende lekken (waar we op terugkomen) of Facebook. Dat laatste hangt vooral af van welke gegevens je aan het sociale netwerk hebt doorgegeven en van je privacyinstellingen.

Wat is de schade?

Erger nog, MySpace weet dit al een paar maanden en heeft er niets aan gedaan. Totdat het een slechte pers kreeg van de grote media. Nu wordt de URL omgeleid naar een inlogpagina. Het is op geen enkele manier ideaal.

En dat is op zich opmerkelijk.

We moeten Leigh-Anne Galloway van Positive Technologies bedanken voor het blootleggen van deze kwetsbaarheid. Ze ontdekte het probleem voor het eerst in april en waarschuwde MySpace. Ze ontving een automatische e-mail als reactie… en dat was het. Drie maanden later besloot ze dat de wereld het moest weten, en MySpace werd gedwongen om daadwerkelijk iets te doen.

Je vraagt ​​je misschien af ​​waar het allemaal om draait. Er staat toch niets interessants op?

In wezen kan een cybercrimineel de volledige controle over uw profiel krijgen door het e-mailadres en wachtwoord dat MySpace gebruikt te wijzigen. Dit is identiteitsdiefstal.

En hoewel er nog geen enorme hoeveelheden informatie zijn, is het niet om aan te snuffelen.

Wat vind je ervan dat een volslagen vreemde toegang heeft tot foto’s van jou toen je jonger was? Hoogstwaarschijnlijk, toen je een tiener was? Griezelig, niet? Als er iets gênants op staat, hoe zou je je dan voelen als het tegen je gebruikt zou worden? Tegenwoordig laten beroemdheden hun oude sociale media-accounts doorzoeken door verschillende industrieën, waaronder de media, dus er is prioriteit gegeven aan het gebruik van MySpace tegen mensen.

Inderdaad, de site krijgt nog steeds bijzonder goede statistieken op een donderdag, wanneer oude digitale foto’s worden opgewekt voor regurgitatie als onderdeel van ‘Throwback Thursdays’.

Dat is zonder te vermelden dat zelfs uw persoonlijk identificeerbare informatie (PII) – zoals verjaardag, e-mailadres en telefoonnummers – geld waard is voor oplichters.

Wat is het goede nieuws?

Ja daar is goed nieuws, maar zelfs dat heeft een coda.

Uw MySpace zal vrijwel onherkenbaar voor u zijn.

myspace-startpagina

Dit komt door een rebranding. MySpace heeft zichzelf opnieuw uitgevonden in een sociale site die zich richt op muziek. Alle profielen verloren hun personalisatie, dus als je ooit wilde onthouden welke gênante achtergrond je had ingesteld, heb je pech. Verschillende details zijn verdwenen, waaronder enkele van die “Top X”-lijsten met favoriete boeken, tv, films en liedjes.

Het probleem blijft, je profiel is geen schone lei. Niet alle persoonlijke informatie is verdwenen. Nogmaals, we mogen de waarde van persoonlijk identificeerbare informatie niet onderschatten.

Verder zijn er veel gegevens af te leiden uit basisinformatie. Neem Facebook als voorbeeld: de dienst weet veel over jou (of je nu een actief lid bent of niet), dus hackers kunnen daaruit een eerlijke beoordeling van je krijgen. Digital Shadow laat zien welke details over u kunnen worden geraden op basis van relatief weinig gegevens.

MySpace is niet eens zo dood als je dacht dat het was. In november 2015 kreeg het alleen al in de VS 50,6 miljoen unieke gebruikers en verwerkte het meer dan 465 miljoen e-mailadressen. Dat zijn veel gegevens die mogelijk voor het grijpen liggen.

Wacht, was MySpace niet onlangs in de problemen?

Alsof dit nog niet erg genoeg was, wordt MySpace in een bijzonder slecht daglicht gesteld na een andere schok uit 2016. Of liever gezegd, 2008.

myspace hack haveibeenpwned

Soms kan het goed zijn als bedrijven zwijgen over datalekken. Maar MySpace had een groot lek en we kwamen er pas drie jaar na de hack achter. Het eerste dat we ervan wisten was in 2016, toen via het sociale netwerk meer dan 360 miljoen e-mailadressen en meer dan 427 miljoen wachtwoorden te koop werden aangeboden.

De oorspronkelijke hack kan op elk moment tussen 2008 en 2013 hebben plaatsgevonden.

Als je MySpace hebt gebruikt, ga dan naar haveibeenpwned.com. Dit vertelt u of uw gegevens onderdeel zijn geweest van een inbreuk. Als je de e-mail kunt herinneren die je al die jaren geleden hebt gebruikt om je aan te melden bij MySpace, typ het dan in. Schokkend, toch?

Jeff Bairstow, Executive Vice President en Chief Financial Officer van Time Inc., stelde gebruikers gerust:

“We nemen de beveiliging en privacy van klantgegevens en -informatie uiterst serieus – vooral in een tijd waarin kwaadwillende hackers steeds geavanceerder worden en inbreuken in alle sectoren maar al te gewoon zijn geworden. Onze informatiebeveiligings- en privacyteams doen er alles aan om te ondersteunen het MySpace-team.”

Er is ons verteld dat privé-informatie serieus wordt genomen. Toch is deze nieuwste beveiligingsfout intact gebleven sinds die hack.

De wachtwoorden die tijdens de hack zijn gestolen, zijn opgeslagen met het Secure Hashing Algorithm (SHA)-1-hash. Dit verandert wachtwoorden in verschillende cijfers, maar is eigenlijk niet erg veilig. Salten en langzame hashes is een superieure manier om je wachtwoord te beschermen — het is niet onfeilbaar, want niets is dat ooit, maar op dit moment is dat zo goed als mogelijk.

Nu lijkt het er echter op dat, zelfs als MySpace een sterkere wachtwoordbeveiliging had geïmplementeerd, het eenvoudige proces voor accountherstel het betwistbaar zou hebben gemaakt.

Wat zou je moeten doen?

Wat zegt dit over internetbeveiliging?

MySpace is slechts het laatste voorbeeld van een groot bedrijf, zij het een grotendeels vergeten door de massa, die niet voldoende zorg draagt ​​voor uw informatie. Het is gewoon niet goed genoeg. Beveiligingsmaatregelen moeten altijd up-to-date worden gehouden, ongeacht de hoogtijdagen van een site.

Wat kun je eraan doen? Allereerst heeft MySpace de gerelateerde pagina verwijderd, dus op dit moment kunt u niet in het netwerk komen tenzij u uw inloggegevens kunt onthouden. Hopelijk zal de site de beveiliging aanscherpen.

Het blijkt echter niet betrouwbaar. Het is misschien oneerlijk tegenover MySpace om u te adviseren uw account te verwijderen, maar dat is precies wat Leigh-Anne Galloway heeft gedaan. U kunt begrijpen waarom. Zeker, als je niet van plan bent om terug te migreren naar MySpace, zou het brutaal zijn om niet al je informatie daar te verwijderen.

Heb je je account verwijderd? Maakt u zich zorgen over verdere lekken? Of denk je dat het zinloos is om te verwijderen wat er al is, na het aantal beveiligingscompromissen?

Image Credit: thelefty via Shutterstock.com