Een aantal weken geleden werd 700.000 Orkut-gebruikers het doelwit van een worm die logingegevens wist te stelen en blijkt ook dat Hyves-gebruikers kwetsbaar zijn. De Nederlandse beveiligingsonderzoeker Bart Kerkvliet ontdekte dat de populaire sociale netwerksite kwetsbaar voor een cross-site site scripting aanval was. Kerkvliet nam contact op met Hyves, maar werd daar naar eigen zeggen in eerste instantie niet serieus genomen. Hij probeerde het nog een keer, en kreeg toen te horen dat Hyves het lek zou dichten. Een controle door Kerkvliet liet zien dat het nog steeds mogelijk is om JavaScript te injecteren. Daarnaast liet Hyves weten dat de kwetsbaarheid toch niet zo gevaarlijk was.

Een aanvaller hoeft volgens de onderzoeker niet veel werk te verrichten. De kwetsbaarheid maakt het mogelijk om 1 gebruiker de kwaadaardige link die de exploit bevat te laten openen. De worm zal dan op de Hyves-pagina van alle contacten van deze gebruiker een link achterlaten. Deze contacten openen de link, waarna de worm bij de vrienden van deze contacten dezelfde link achterlaat.

Full-disclosure dwang
Kerkvliet publiceerde via beveiligingsonderzoeker Ronald van den Heetkamp zijn bevindingen. "Als ze het niet verhelpen, is het aan ons en kerels zoals hij om ze via full-disclosure te dwingen," zegt van den Heetkamp.

De onderzoeker ziet verschillende mogelijkheden om het lek te misbruiken. "Account phishing, of het stelen van login gegevens spreekt natuurlijk het meest tot de verbeelding omdat dit snel en eenvoudig te doen is. Het enige wat men hoeft te doen is een link met een remote javascriptje aan iemand te sturen. Of verbergen in een 'tinyurl'. Het pseudo de-facen van Hyes is uiteraard heel simpel en werkt op eenzelfde manier," laat van den Heetkamp tegenover Security.NL weten.

Twee jaar geleden onderzocht hij zelf ook al een keer de sociale netwerksite, en toen was het lek nog niet aanwezig. "Waarschijnlijk is er in de tussentijd het een en ander aangepast waardoor ze nu wel kwetsbaar zijn voor een van de meest voorkomende XSS kwetsbaarheden." We hebben Hyves om een reactie gevraagd, maar die hebben we op moment van publicatie niet mogen ontvangen.

Update 15:13
Hyves laat in een reactie weten dat de oplossing tijdelijk niet actief is geweest, waardoor het lek bleef bestaan. Inmiddels zou het wel zijn verholpen. Wat betreft het serieus nemen van meldingen over de veiligheid zegt Raymond Spanjar tegenover Security.NL.

"Bij een eerdere melding is niet snel genoeg gereageerd omdat er geen speciaal adres was voor beveiligingslekken, en dit via het contact formulier werd gemeld, of als prive bericht op mijn Hyves account, en ook nog tijdens mijn vakantie. Vanaf deze week zullen we daarom het adres security@hyves.nl speciaal voor dit soort meldingen vermelden op de website, zodat we hier heel snel op kunnen reageren." Tevens vraagt de sociale netwerksite regelmatig hackers om de beveiliging te testen.