Nieuws

Hyves gaat lekje in autorisatiesysteem dichten

maandag 25 januari 2010, 13:28 door Redactie, 16 reacties

Een lekje in het autorisatiesysteem van Hyves zorgt ervoor dat derden in sommige gevallen toegang tot profielen kunnen krijgen. Leon Kuunders ontdekte het probleem, dat alleen bij onoplettende gebruikers speelt. Toch vond de grootste sociale netwerksite van Nederland het beter om het gemelde probleem op te lossen. Dat zal het voor donderdag doen, waarna we ook meer details kunnen publiceren.

Kuunders was verrast door het probleem, ook al is het grotendeels een gebruikersfout. "Zeker als Hyves een OpenID provider wordt en wil optreden als betrouwbare bron voor gebruikerskenmerken zoals naam, adres en leeftijd is een dergelijke procedure onbegrijpelijk. Maar gelukkig eenvoudig te fixen", zo laat hij tegenover Security.nl weten.

"Hackers bang voor Microsoft"

Bits of Freedom start campagne tegen datalekken

Reacties (16)

25-01-2010, 16:56 door Turkdale

Haha...
Dit is niet de enigste bug...
Stel ik heb Hyves Desktop geïnstalleerd en ik zet Automatisch inloggen aan.
Nadat ik 1x automatisch ingelogt ben en ik verander mijn wachtwoord, kan ik nog steeds verbinden met mijn Hyves account al log ik uit en in op Hyves Desktop.
Ik kan dan alles doen wat met Hyves Desktop kan dat gekoppelt is aan mijn account.
Omdat mijn bericht 2x niet beantwoord is toen ik deze bug meldde, meld ik het hier even ;)

25-01-2010, 17:17 door Anoniem

Lastig als je bij je man weggaat voor die lekkere Hyves bink, en je ex toch je profiel kan aanpassen nadat jij je password aangepast hebt.
Manlief heeft immers de pc nog.

25-01-2010, 17:36 door Turkdale

Door Anoniem: Lastig als je bij je man weggaat voor die lekkere Hyves bink, en je ex toch je profiel kan aanpassen nadat jij je password aangepast hebt.
Manlief heeft immers de pc nog.

Inderdaad ;)
Ach, ooit zal Hyves een x down worden gehaald door een geslaagde hacker en dan zullen ze daarndie mailtjes met bug-reports een x bekijken..(Als er een daarna komt :P)

25-01-2010, 18:21 door Anoniem

Natuurlijk willen ze doen alsof ze serieus bezig zijn.... alleen een beetje jammer dat er nog steeds een privacy vraag bij hen al ruim een jaar open staat. Hyves != privacy bewust.

25-01-2010, 18:51 door MarijnS

Turkdale, dat zou inderdaad een vervelende bug zijn! Ik heb zojuist geprobeerd om dit probleem te reproduceren, maar dat lukte niet. Na het veranderen van mijn wachtwoord was ik na een restart niet meer ingelogd op de Hyves Desktop.

Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)

Thanks!
Marijn

25-01-2010, 19:40 door Anoniem

@17:17 hahhaha ik ken nog veel meer mannen vrouwen die het zo hebben gedaan,ik heb er gelukkig geen last van mijn vriendin en ik doen niks anders dan gamen...hyves beiden of dat facebook en netlog moeten we allebei niks van hebben :-)

25-01-2010, 21:14 door Anoniem

Haha ik heb dit 1 keer meegemaakt geloof ik, iemand kopieerde een hyves link naar me toe ik klikte erop en opeens was ik ingelogd als die persoon.

25-01-2010, 21:51 door Anoniem

HAHA.. Facebook and twitter for the win @ThorsonB

25-01-2010, 23:34 door Turkdale

Door MarijnS: Turkdale, dat zou inderdaad een vervelende bug zijn! Ik heb zojuist geprobeerd om dit probleem te reproduceren, maar dat lukte niet. Na het veranderen van mijn wachtwoord was ik na een restart niet meer ingelogd op de Hyves Desktop.

Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)

Thanks!
Marijn

Het kan zo zijn dat deze bug gefixt is ;)
Het was rond September 2009 wel mogelijk.
Ik zal het eens nog eens proberen en als het dan wil, neem ik contact met je op en ga ik vervolgens hier uitleggen hoe het moet ;)

Als het niet wil, zet ik het hier ook neer en dan neem ok alsnog ook contact met je op :D

Nog een toevoeging, ik vindt het wel jammer dat Hyves grotendeels uit Javascript bestaat....
De website bestaat nu al een beetje lomp, soms sloom, soms snel, soms doet iets het niet en dan moet je refreshen en dan doet die het wel.
Het is naar mijn mening in de browsers waar ik Hyves getest heb: Firefox 3.6 en Internet Explorer 8 + Oude browser modus, nog hetzelfde.

Daar mogen ze naar mijn mening wel wat aan doen :S

Greetz,
Emre a.k.a. Turkdale

26-01-2010, 12:06 door Anoniem

Andersom werkt ook :)

Mijn vriendin opende een link naar hyves in haar email (als het goed is dus gericht aan haar account) en komt in mijn account terecht, omdat ik op de betreffende machine automatisch ingelogd sta.

26-01-2010, 13:33 door Anoniem

Hyves is pure tijdsverspilling.
Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.

Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.

26-01-2010, 14:08 door Anoniem

Als ik het zo lees slaan mensen gewoon maar domweg hun account gegevens op in een cookie..
Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..

Beide natuurlijk een slechte zaak als je een PC deelt met iemand..

Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..

26-01-2010, 14:10 door Anoniem

Door Anoniem: Hyves is pure tijdsverspilling.
Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.

Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.

Hyves wordt door sommigen gezien als tijdverspilling maar het is een sociale netwerk site en mensen die graag bezig zijn met hun sociale contacten, melden zich aan op zulke site's en uiteindelijk bewijst het aantal leden wel of zo'n Sociale Netwerk Site, een succes of niet.

Ik heb intotaal 5x gemaild met Hyves en 1x is die beantwoord door een ene Tugba ofzo en ik zie direct na paar dagen dat mijn idee is verwerkt!

Mijn idee was: Wanneer iemand je spot, dat diegene die gespot is een bericht krijgt door wie die gespot is :P
Ik vond het een pracht idee en verstuurde het dus meteen ;)
Dagje later kreeg ik antwoord en ze zouden ernaar kijken :P
Dat is dus wel gebeurt, maar met klachten zijn ze net dood...
Geen piepje te dat je tehoren krijgt.

26-01-2010, 14:13 door Turkdale

26-01-2010, 14:15 door Turkdale

Door Anoniem: Als ik het zo lees slaan mensen gewoon maar domweg hun account gegevens op in een cookie..
Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..

Beide natuurlijk een slechte zaak als je een PC deelt met iemand..

Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..

Ja opzich klopt het wel.
Maar ik vindt het opzich wel leuk verzonnen dat 'Hyves' en 'Krabbelen' enzo.
Beetje mensen toevoegen :P

26-01-2010, 18:13 door H.King

Door Anoniem:

Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..

En aan de manier waarop jij programmeur spelt kan ik opmaken dat jij geen programmeur bent. Want zover ik weet zijn er nog steeds geen grote bugs ontdekt in hyves, hooguit een paar kleine en dat kan de beste zelfs overkomen omdat programmeurs nou eenmaal met deadlines werken. Dus voordat jij afgeeft van program"m"eurs heb dan iig de kennis om dat te doen. Persoonlijk vind ik het namelijk vrij knap dat er nog geen XSS wormen of whatever rondspoken op hyves.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Hyves gaat lekje in autorisatiesysteem dichten

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren