Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
Hyves.
Hyves-gebruikers met afgeschermde foto's.
Afgeschermde foto's.
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"[...] ontdekte dat de postkaart-module van Hyves een groot beveiligingslek bevatte. Deze module maakt het mogelijk om een Hyves-foto als postkaart te versturen, [...]. Door een parameter in de url van de module aan te passen, was het mogelijk om elke Hyves-foto als postkaart te selecteren; ook foto's waarvan een gebruiker niet het recht heeft om ze te zien. Volgens Hyves is de module slechts korte tijd kwetsbaar geweest.
[...] ontdekte dat het bijvoorbeeld mogelijk was foto's te selecteren die enkel voor vrienden zichtbaar zouden moeten zijn, terwijl hij met de eigenaar van de foto's geen vrienden was. "De module controleerde niet of een gebruiker wel het recht had om de foto uit de url als kaart te selecteren", stelt [...].
Bovendien was het mogelijk om verschillende variabelen die bij de foto hoorden uit te lezen, waaronder de unieke hash van een foto. Daaruit kon de volledige url van de foto worden afgeleid. Dit proces was bovendien te automatiseren, waardoor het mogelijk was om een database met foto's aan te leggen. Als bewijs overhandigde [...] aan Tweakers.net een lijst met zevenhonderd links naar foto's, die hij op deze manier wist te verzamelen.
Hoewel ook verborgen foto's konden worden achterhaald, was het niet mogelijk om specifiek foto's van een bepaalde gebruiker op te vragen. Er kon enkel op de unieke id van een foto worden geselecteerd." (Tweakers.net, 11/01/05)
"Nadat [...] met Hyves contact opnam over het probleem, werd het selecteren van foto's in de kaartjesmodule uit voorzorg uitgeschakeld. Ook werd de ontdekker uitgenodigd bij Hyves om het probleem samen te onderzoeken. [...] is erg te spreken over de reactie van Hyves: "Ze hebben het erg professioneel aangepakt", vindt hij. De links naar foto's die hij had verzameld, werken inmiddels niet meer.
Hyves erkent bij monde van woordvoerder [...] dat er enige tijd een lek in de kaartjesmodule heeft gezeten. [De woordvoerder] doet de kwetsbaarheid af als een 'klein lek', dat maar korte tijd heeft bestaan. "Dit lek is ontstaan na een update", stelt de woordvoerder. "Het is na het melden direct opgelost en was geen groot gevaar voor gebruikers." De Hyves-woordvoerder stelt dat het lek vanzelf aan de orde was gekomen bij een routinecontrole. "Langer dan een dag heeft het niet kunnen bestaan", stelt hij. Dat roept wel de vraag op waarom de beveiliging van de module niet is getest voordat de update werd doorgevoerd.
Volgens woordvoerder [...] was bovendien 'specifieke technische kennis' vereist om de bug te misbruiken, hoewel er niet veel meer nodig was dan het manipuleren van de url. "Je moet maar net weten dat het openstaat en dat het specifiek op die plek is te misbruiken", stelt [de woordvoerder]. Momenteel zou de kaartjesmodule weer moeten werken, hoewel het selecteren van een foto uit een album als kaart nog niet mogelijk lijkt te zijn. Volgens [de woordvoerder] doet Hyves zijn uiterste best om dit soort problemen te voorkomen." (Tweakers.net, 11/01/05)
Eerste publicatie:
Tweakers.net: Afgeschermde Hyves-foto's zichtbaar door bug in kaartenmodule (11/01/05)
Zie verder:
BoF: Datalek - afgeschermde Hyves foto's zichtbaar door bug (11/01/07)
Rejo Zenger: Afgeschermde foto's Hyves zichtbaar door fout (11/01/07)
