Дослідник безпеки Лі-Енн Геллоуей (Leigh-Anne Galloway) виявила простий спосіб, що дозволяє отримати доступ до всіх облікових записів MySpace. Як виявилося, для викрадення чужого акаунта достатньо лише знати ім'я, на яке він зареєстрований, ім'я користувача і його дату народження. Дослідник повідомила MySpace про проблему ще в квітні поточного року. Оскільки адміністрація соцмережі не відповіла на повідомлення, Геллоуей вирішила зрадити вразливість розголосу.
Проблема полягає в тому, що форма для відновлення пароля облікового запису MySpace запитує надто мало даних для підтвердження особи власника аккаунта. Для зміни пароля досить лише вказати ім'я та прізвище потрібної людини, ім'я користувача і дату народження.
Перші два пункти і так видно всім, і зловмисникові залишається лише дізнатися дату народження жертви. Інші поля в формі рекомендуються до заповнення, але на практиці достовірність зазначеної них інформації не перевіряється.
У понеділок, 17 липня, адміністрація MySpace перенаправила URL-адресу для відновлення пароля, і тепер він більше не веде на вразливу форму. Рішення адміністрації соцмережі закрити доступ до вразливою формі свідчить про те, що їй відомо про проблему.