image

"Afgeschermde Hyves profielen toch zichtbaar"

dinsdag 6 april 2010, 17:30 door Redactie, 29 reacties

Veel mensen hebben hun Hyves profielen niet goed ingesteld, waardoor afgeschermde accounts toch zichtbaar zijn. Dat beweert digitaal recherchebureau Com-connect. Het bedrijf controleerde in samenwerking met digitaalonderzoeker.nl honderd profielen en ontdekte dat zestig gebruikers de instellingen van hun foto's niet goed hadden ingesteld. Het probleem wordt veroorzaakt door de RSS feeds van Hyves. Daarmee is het mogelijk om toegang te verkrijgen tot de foto's, widgets en blogs van afgeschermde accounts. "Dit is niet de fout van Hyves, maar de fout van de gebruikers", aldus de onderzoekers.

Onveilig
Vaak zijn de standaard instellingen niet aangepast, maar soms stellen de mensen dit ook zelf in. Gebruikers zouden denken dat met het afschermen van het profiel, alle onderdelen ontoegankelijk worden, wat niet zo is. De onderzoekers spreken van een "schrikbarend resultaat".

"Deze mensen denken dat niemand bij hun foto’s, widgets e.d. kan. Het tegendeel is waar, via de RSS feeds zijn deze gegevens gewoon te bereiken." Krabbels zijn meestal niet via RSS zichtbaar, omdat Hyves deze instelling standaard voor de gebruikers wel goed instelt. De onderzoekers benadrukken dat de fout niet bij Hyves zelf ligt, maar bij de gebruikers die de rechten niet goed instellen. "Hyves zelf geeft de opties om dit te voorkomen, alleen maken de gebruikers hier te weinig gebruik van."

Reacties (29)
06-04-2010, 17:54 door Anoniem
Hyves???
06-04-2010, 18:07 door Anoniem
"de onderzoekers benadrukken dat de fout niet bij Hyves zelf ligt"


halve waarheid,
was die standaard reeds volledig afgeschermd dan zou al heel wat helpen
06-04-2010, 18:34 door Anoniem
Dit is een major security leak van Hyves.

Gebruikers kunnen niet van alles op de hoogte zijn maar dit is iets waar een gebruiker eigenlijk vanuit mag gaan als hij zijn profiel op PRIVE zet dit ook voor het hele profiel geldt.

Hyves BV, werk aan de winkel zou ik zeggen!
06-04-2010, 19:06 door Anoniem
Sorry no offence, maar de meeste mensen die op hyves zitten zitten daar voor de gezelligheid en niet een cursus security. het lijkt mij dan ook logisch dat of: de rss beveiliging beter zichtbaar word, of deze standaard word mee gepakt bij het afschermen van het account, de fout ligt dus WEL bij hyves want blijkbaar weet het merendeel van de mensen niet van deze optie af. tijd om het wat duidelijker bij de rest van de opties te zetten en niet te verstoppen?
06-04-2010, 19:09 door Anoniem
Dit probleem treedt op als men foto's in het album "Iedereen" plaatst (of een ander publiek album) en vervolgens het profiel afschermt voor Hyvers die niet ingelogd zijn. Via de RSS feeds zijn publieke albums te benaderen. Waarom zou dit geen fout van Hyves zijn? Je kiest er bewust voor om het profiel af te schermen voor niet-Hyvers... waarom zouden de feeds dan nog beschikbaar moeten zijn?
06-04-2010, 19:18 door Anoniem
Lol wat een giller.
06-04-2010, 21:09 door _Peterr
Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.
06-04-2010, 21:27 door libris
actie op ondernemen?
06-04-2010, 21:50 door Anoniem
@ Peter

Je bedoeld misbruik van maken?
06-04-2010, 21:54 door Anoniem
Dit heeft al zo'n baard...
Als "digitaal recherchebureau Com-connect" een beetje had gelezen op wat internetforums dan hadden ze deze scoop een jaartje eerder kunnen brengen.
Zie bijvoorbeeld dit topic waarbij de welbekende foto's van die moordenaar met dit trucje zijn gedownload: http://www.geenstijl.nl/mt/archieven/2010/03/milly_boele_gevonden.html
06-04-2010, 21:58 door PeterBD
Door _Peterr: Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.
http://www.hyves.nl/profielbeheer/ onder het kopje koppel content kan je eea aanpassen.
06-04-2010, 22:21 door PeterBD
Even getest....
Als ik ingelogd ben en ik ga naar gebuikersnaam..hyves.nl/rss en ik klik op fotos/videos, dan zie ik content...
Ik krijg een pagina met "html" code met daarin urls naar fotos.
Dit zijn zo te zien wel de fotos die ik ook te zien krijg als ik gewoon naar de fotomap van gebruiker ga.

Als ik NIET ingelogd ben, krijg ik de melding dat het profiel niet zichtbaar is voor iedereen.
06-04-2010, 22:24 door Anoniem
Dit heeft al zo'n baard...
Als "digitaal recherchebureau Com-connect" een beetje had gelezen op wat internetforums dan hadden ze deze scoop een jaartje eerder kunnen brengen.
Zie bijvoorbeeld dit topic waarbij de welbekende foto's van die moordenaar met dit trucje zijn gedownload: http://www.geenstijl.nl/mt/archieven/2010/03/milly_boele_gevonden.html
06-04-2010, 22:28 door Anoniem
Hyves is zoooooo 2005
06-04-2010, 22:29 door libris
Het ligt eraan hoe jij je rechten hebt staan op, laten we zeggen je foto album. Als je die op "Iedereen" hebt staan, dan kan je via de RSS feeds erbij. Als je dit ook op bv alleen vrienden hebt staan, dan kan iemand ze niet via de rss feeds zien. Helaas laat hyves sommige dingen standaard op iedereen staan, terwijl je je hele account blokt via de ene instelling.

Uitgebreid uitgelegd:
http://www.digitaalonderzoeker.nl/voorbeelden/hyves_rss.pdf .

libris
06-04-2010, 23:04 door PeterBD
Jep..ik zie het....
De fotos MOETEN zichtbaar zijn voor iedereen en het profiel MAG alleen toegankelijk zijn voor "vrienden"
06-04-2010, 23:09 door libris
dan begrijp jij waar de fout zit ;)

Het probleem is dat weinig mensen deze instellingen aanpassen... daardoor zijn veel profielen zonder problemen te benaderen

libris
07-04-2010, 02:10 door Anoniem
kom kom..
dit had ik al lang ontdekt.. zelfs foto's die in prive albums staan zijn direct te linken dus met een beetje inventief url scriptje kom je een boel zogenaamd beschermde content tegen en dit is zeker een fout van hyves aangezien die foto's niet via een script worden getoond maar plat op de server staan.
07-04-2010, 08:23 door N4ppy
Het bedrijf controleerde honderd profielen en ontdekte dat zestig gebruikers de instellingen van hun foto's niet goed hadden ingesteld.
"Dit is niet de fout van Hyves, maar de fout van de gebruikers", aldus de onderzoekers.

Mag ik hier van maken dat het de fout van hyves is. Als het op zo'n grote schaal mis gaat dan is het niet duidelijk in elkaar gezet. even afgaande op deze kleine steekproef 60% begrijpt het dus niet maar beter is hyves is niet expliciet genoeg in wat wel en niet.

Als je thuis de deur dicht doet dan is het duidelijk dat je ook zelf je ramen moet sluiten dat is ook zichtbaar.

Als je de auto op slot zet dan is het tegenwoordig vanzelfsprekend dat alles dicht is en dat je niet zelf nog de kofferbak moet afsluiten. Bij hyves blijft de kofferbak open.
07-04-2010, 08:38 door [Account Verwijderd]
[Verwijderd]
07-04-2010, 10:13 door libris
Natuurlijk ligt het ook aan hyves, maar ook aan de gebruikers want hyves geeft de gebruikers deze optie wel. Helaas (zoals in het rapport gezegd wordt) doet hyves dit standaard niet. Dat is het gene wat hyves fout doet...

Dus hier kan je over discussieren wat je wil, maar je kan het probleem bij beiden leggen.

De mensen die zeggen dat hyves het beste standaard de instellingen goed hadden kunnen zeggen, geef ik gelijk... want dat is nou eenmaal een feit :)
07-04-2010, 15:33 door Erwtensoep
De gebruiker doet het zelf niet, maar Hyves zou het wel duidelijker kunnen maken, of een nieuwe optie toevoegen waarbij privacy instellingen voor alle delen van je profiel gelden die standaard aan staat en geavanceerde gebruikers kunnen dat dan zelf desgewenst uit zetten.
07-04-2010, 15:34 door Anoniem
hyves.feeds.nl
Het domein hyves.feeds.nl is te koop
Dus? Na de proef verkocht?
07-04-2010, 15:44 door [Account Verwijderd]
[Verwijderd]
07-04-2010, 16:35 door Anoniem
Mijn RSS klopt. Ik had ook niet anders verwacht :) anders zou ik waarschijnlijk toch wel ietwat pissig zijn geweest.
07-04-2010, 17:30 door Anoniem
Door _Peterr: Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.

Ik ben blij dat er iemand meedenkt/leest die voor Hyves werkt. Succes Peter met het dichten van het lek.
16-04-2010, 18:44 door Anoniem
Inmiddels werkt dit niet meer, hyves heeft volgens mij alle RSS feeds private gemaakt.
20-04-2010, 12:09 door Anoniem
netjes peter,
12-08-2010, 05:49 door Anoniem
voor de mensen die zeggen hyves-feeds.nl/rss/hyves/naam/foto nee het is hyves-feeds.nl/rss/hyveR/naam/foto maar ik krijg alsnog over te staan dat ik onvoldoende rechten heb :S
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.