D9D1E2

Datalekken in Nederland

2012

Overnemen identiteiten mogelijk bij platform sociale netwerken (12/04/20)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

NING (Glam Media, Inc.).

Verwerking

Sociale netwerken op www.ning.com.

Betrokkenen

"[...] in totaal 100 miljoen gebruikers. [...] Wie zich bijvoorbeeld aanmeldde als gebruiker van het sociale netwerk van de This Is 50-fanclub kon daarna aan de slag gaan op het Nederlandse ambtenaren netwerk Ambternaar 2.0." [Bron]

Soort (persoons)gegevens

"Volgens [een van de ontdekkers] zijn de mogelijkheden oneindig. Niet alleen is duidelijk wie zich bij groepen heeft aangesloten, maar dus ook hun identiteit aan te nemen. 'In theorie kun je dan opeens een inzamelingsactie voor geld starten, de regels veranderen, gebruikers van een netwerk gooien, in naam van iemand anders communiceren, hun priveberichten of andere aanvallen uitvoeren', meent [de ontdekker]." [Bron]

Type incident

Inbreuk op de beveiliging, potentieel inbreuk op de beschikbaarheid, integriteit en vertrouwelijkheid..

Beschrijving van het incident

"Het probleem met de beveiliging is de manier van aanmelden bij het systeem. Nadat iemand zich heeft aangemeld levert NING een standaard cookie af als bewijs dat iemand is aangemeld. [Twee studenten] wisten te achterhalen hoe deze methode precies werkt en konden daarna de identiteit van iedere gebruiker overnemen. Met de geldige informatie wisten de studenten vervolgens het bewijs van inloggen zo aan te passen dat ze konden inloggen als een van de 100.000.000 profielen op een willekeurig netwerk. Wie zich bijvoorbeeld aanmeldde als gebruiker van het sociale netwerk van de This Is 50-fanclub kon daarna aan de slag gaan op het Nederlandse ambtenaren netwerk Ambternaar 2.0. Als voorbeeld tonen ze in een video [...] het Politie 2.0-account van uw verslaggever. Op basis van een eigen login bij een compleet ander NING-netwerk meldden ze zich vervolgens in minder dan 30 seconden op het sociale netwerk aan. Daarvoor is geen wachtwoord nodig. 'De truc zat hem erin uit te vinden hoe de informatie in elkaar stak, maar daarna kun je een applicatie maken die het overnemen van een identiteit automatiseert', vertelt [een van de ontdekkers] tegenover Webwereld. Het programmaatje, dat alleen voor intern gebruik voor het onderzoek is gemaakt, is gebruikersvriendelijk genoeg om dit mensen snel te leren.[...] De studenten benadrukken vooral aan de oplossing van de problematiek te willen werken. Ze zullen de software niet openbaar maken en hebben ook geen accounts misbruikt. [...] Het is niet de eerste keer dat studenten van [de betreffende onderwijsinstelling zwakheden in de software van NING ontdekt. In juli 2011 brachten Nederlandse hackers vijf gaten in de software aan het licht. In het verleden heeft Govcert op het Ambtenaar 2.0 al gewaarschuwd voor het gebruik van dit soort gehoste diensten." [Bron]

Respons van de organisatie

"Het probleem is door de studenten in maart aangebracht bij Webwereld, waarna contact is gezocht met NING. Het bedrijf erkent de problemen en heeft gewerkt aan een oplossing. Omdat dit de structuur van het aanmelden betreft had de onderneming tijd nodig de aanpassingen door te voeren. Na het uitvoeren van testen stelt het bedrijf nu het probleem te hebben verholpen." [Bron]

Bronnen

AG: De Winter - Sociaalnetwerkplatform NING lek (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Nu.nl: Identiteitsdiefstal 100 miljoen gebruikers mogelijk via platform (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Tweakers.net: Nederlanders ontdekken groot lek in Ning (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

WebWereld: NING lekt accounts 100 miljoen gebruikers (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Eerdere berichtgeving:

WebWereld: Nederlandse tieners schieten communitysite Ning lek (11/07/12)
[Open link in dit venster | Open link in nieuw venster]

Ambtenaar 2.0: Web 2.0 - vele voordelen, maar doe het veilig (09/07/23)
[Open link in dit venster | Open link in nieuw venster]

.