MySpace heeft SecLists.org, de beveiligingswebsite van security goeroe Fyodor, tevens ontwikkelaar van netwerktool Nmap, van het internet laten verwijderen omdat er in het archief een posting stond over de 57.000 gephishte wachtwoorden. In plaats van contact met Fyodor op te nemen, werd domeinboer GoDaddy gevraagd om de pagina uit de lucht te halen.
SecLists biedt een publiek archief van verschillende security mailingslists, zoals BugTraq en Full Disclosure. "In plaats van mij te schrijven om de lijst met wachtwoorden te verwijderen, werd er alleen met GoDaddy contact opgenomen om de hele website te verwijderen omdat die hen niet aanstond. En GoDaddy, zo laf en lui als ze zijn, ging hiermee akkoord, zonder uit te zoeken hoe het nu werkelijk zat of mij eerst in te lichten.
Het is dan ook niet verrassend dat ik een nieuwe registrar zoek die niet meteen bukt voor elke grote onderneming die langskomt" aldus Fyodor, die tevens laat weten dat het voor MySpace toch al te laat is om het wachtwoordschandaal in de doofpot te stoppen. Iedereen die in Google zoekt op "myspace1.txt.bz2" of "duckqueen1" kan de lijst vinden. "Gaat MySpace nu proberen Google te sluiten?" zo vraagt de security goeroe zich af.
GoDaddy laat in een reactie weten dat ze de website, die inmiddels weer in de lucht is, wegens "moreel verwerpelijke activiteiten" hebben gesloten. In plaats van een onschuldige website te sluiten had MySpace beter haar tijd en energie kunnen steken in het veranderen van de wachtwoorden op de lijst en de gebruikers daarna in te lichten, aldus BlueBoar van SecuriTeam.
GoDaddy zegt zelf dat ze Fyodor maar liefst een uur van tevoren hebben gewaarschuwd voordat de stekker eruit ging, maar dat ze hem niet konden bereiken. Op de vraag waarom men nu zoveel haast maakte, terwijl de informatie al negen dagen! daar stond, kan men geen antwoord geven, behalve dat MySpace gebruikers erg jong zijn, en dat hun privacy door deze lijst ernstig geschonden kan worden. Andere critici reageren hier weer op dat het jammer is dat GoDaddy niet zo "adequaat" optreedt tegen spammers en phishers. "Het hosten van een mailinglist is erger dan spammen" laat Kevin Poulsen weten.
Het verwijt aan MySpace wat betreft de wachtwoorden is niet onterecht. Aan de hand van de gephishte lijst werd de volgende Top 20 van meest gebruikte MySpace wachtwoorden opgesteld:
password1 (106)
abc123 (73)
swimmer1(43)
iloveyou1 (41)
monkey1 (40)
fuckyou (37)
123456 (33)
myspace1 (32)
fuckyou1 (32)
i(32)
password (27)
babygirl1 (25)
iloveyou2 (24)
football1 (24)
danny12031986 (23)
blink182 (23)
princess1 (22)
freeshit4me (22)
16188s (22)
123abc (22)
Voor alle geinteresseerden, de lijst met wachtwoorden is hier te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.