image

Hyves e-mail zorgde voor lek in autorisatiesysteem

woensdag 27 januari 2010, 11:53 door Redactie, 11 reacties

Een e-mail die Hyves naar gebruikers stuurde na het aanpassen van het e-mailadres, gaf derden toegang tot het profiel. Wie op de populaire sociale netwerksite zijn of haar e-mailadres wijzigt, ontvangt ter bevestiging een e-mail. Dit e-mailbericht was standaard van de Hyves-footer voorzien, met daarin een link naar het profiel van de aanvrager. Via deze link is het mogelijk om direct op het profiel van de gebruiker in te loggen. Een gebruiker die bij de wijzigingsprocedure een verkeerd e-mailadres opgeeft, geeft voor de bevestiging dat het e-mailadres aan hem of haar behoort, de ontvanger van de e-mail volledige controle over het profiel.

Leon Kuunders, die het probleem ontdekte, kreeg in korte tijd twee bevestigingmails van verschillende Hyvers. "Hyves zou in de bevestigingsmail de Hyves-footer niet moeten toevoegen", zo laat hij aan Security.nl weten. "Gezien de inhoud van die e-mail 'Je hebt een nieuw e-mailadres ingevuld. Bevestig ajb dat het echt die van jou is', is het natuurlijk van de zotte dat daarmee wel toegang wordt verleend tot het profiel." Hyves werd zondag ingelicht en liet maandag weten dat het probleem voor vandaag zou zijn opgelost. "Dit probleem ontstaat alleen na foute invoer door een gebruiker, maar we gaan het aanpassen", aldus mede-oprichter Raymond Spanjar.

Reacties (11)
27-01-2010, 12:06 door Anoniem
Dat is een flinke hack dat hij heeft gevonden, de gebruiker vult een verkeerde e-mail address in? Heel zeldzaam.
27-01-2010, 12:42 door Anoniem
Heel zeldzaam.
Je moet eens weten wat ik allemaal door de jaren heen op mijn e-mail adres binnen heb gekregen. Kleine greep:
- Liefdesaanzoeken (en nee, niet voor mij ;)), gevaar: chantage
- Interne presentaties (met cijfers) van een grote telco, gevaar: voorkennis voor concurrent
- Rekeningen van een psychiater, gevaar: chantage
- Een orderbevestiging van een webshop, gevaar: identiteitsdiefstal
- Een complete uitwerking van een vakantieplan, gevaar: inbraak (data zijn bekend)
- Nieuwe prijzen van nog niet uitgekomen Apple producten, gevaar: geruchtenstroom, persoonlijke reprimande medewerker
- Gerechtelijke stukken, gevaar: chantage tot fysiek gevaar (represailles)
enz... inclusief alle accounts die her en der met mijn e-mail adres worden aangemaakt (interessante vraag: ben ik dan ook meteen eigenaar van dat account?).
Geloof me, typos in mailadressen komen veel voor.
27-01-2010, 13:03 door Anoniem
Dat heb ik een jaar geleden al gemeld bij Hyves. Nooit een reactie terug gekregen...
27-01-2010, 13:21 door H.King
mmm
27-01-2010, 14:04 door Anoniem
MOORD BRAND!!!

leuk foutje, maar werkelijk bijna niet de moeite van het vermeldenwaard..
27-01-2010, 14:15 door Anoniem
Door Anoniem:
Heel zeldzaam.
Je moet eens weten wat ik allemaal door de jaren heen op mijn e-mail adres binnen heb gekregen. Kleine greep:
- Liefdesaanzoeken (en nee, niet voor mij ;)), gevaar: chantage
- Interne presentaties (met cijfers) van een grote telco, gevaar: voorkennis voor concurrent
- Rekeningen van een psychiater, gevaar: chantage
- Een orderbevestiging van een webshop, gevaar: identiteitsdiefstal
- Een complete uitwerking van een vakantieplan, gevaar: inbraak (data zijn bekend)
- Nieuwe prijzen van nog niet uitgekomen Apple producten, gevaar: geruchtenstroom, persoonlijke reprimande medewerker
- Gerechtelijke stukken, gevaar: chantage tot fysiek gevaar (represailles)
enz... inclusief alle accounts die her en der met mijn e-mail adres worden aangemaakt (interessante vraag: ben ik dan ook meteen eigenaar van dat account?).
Geloof me, typos in mailadressen komen veel voor.


Enkele van deze zaken uit de opsomming lijken mij op zichzelf al heel erg bijzonder (liefdesaanzoek, nieuwe appleproducten, gerechtelijke stukken), maar dat jij dat allemaal op jouw emailadres hebt ontvangen lijkt me toch wel heel erg sterk!
27-01-2010, 14:24 door Anoniem
Vroeg me al af wat de bug zou zijn. Ik heb dit nl. zelf ook een keer gehad, iemand had mijn emailadres ingevuld op zijn profiel. Gevalletje zelfde naam waarschijnlijk. Enfin, ik had zijn profiel maar verwijderd :)
27-01-2010, 14:56 door Turkdale
@Anomien 14:24,
Ahahha wel nice gedaan...
Een kennis van me heeft ook verkeerde e-mail ingesteld, ik kreeg mailtjes van zijn krabbels etc en kon idd inloggen via een link.

En toen heb ik het maar gezegt :P
Nu ontvang ik niks meer..
27-01-2010, 15:20 door Anoniem
Enkele van deze zaken uit de opsomming lijken mij op zichzelf al heel erg bijzonder (liefdesaanzoek, nieuwe appleproducten, gerechtelijke stukken), maar dat jij dat allemaal op jouw emailadres hebt ontvangen lijkt me toch wel heel erg sterk!
Heel erg sterk of niet, ik heb die spullen toch echt binnengehad. Het geluk wat de mailers hebben is dat ik altijd netjes een mailtje terug stuur met een melding van hun fout en alle data vernietig. Maar stel dat ik dat niet zou doen en zo stiekem in de mailinglijst van bijv. die telco terecht zou komen.... Ik werkte destijds voor hun grootste concurrent, moet je nagaan! Maar ook die gerechtelijke stukken kreeg ik van een advocaat binnen, die meldde dat hij nog geprobeert had het mailtje 'terug te halen'. Uit zijn reactie kon ik opmaken dat hij wel erg geschrokken was van zijn fout.

Wat ik me dan wel afvraag, stel dat je niks zegt (niet verplicht) en je misbruikt de ontvangen data, wie draait daar dan uiteindelijk voor op? Ik heb immers niet om die mails gevraagd (fout van de verzender) en die klassieke footers over 'geadresseerden' gaan niet op (immers, hoe kan ik _niet_ de geadresseerde zijn en wel de e-mail ontvangen?), of doelen ze op 'tenaamstelling'?
28-01-2010, 11:03 door Anoniem
Gewoon deze disclaimer eronder zetten :)

=============================================================================
De informatie opgenomen in dit bericht kan vertrouwelijk zijn en is uitsluitend bestemd voor de geadresseerde.
Indien u dit bericht onterecht ontvangt, wordt u verzocht de inhoud niet te gebruiken en de afzender direct te informeren door het bericht te retourneren.
=============================================================================
The information contained in this message may be confidential and is intended to be exclusively for the addressee.
Should you receive this message unintentionally, please do not use the contents herein and notify the sender immediately by return e-mail.
=============================================================================

Is juridisch net zo sterk als een kaartenhuis bij windkracht 10 , maar toch.
04-03-2010, 11:30 door Anoniem
Hyves heeft mijn oude mailadres, niet mijn nieuwe. Ik kan nu niet mijn nieuwe wachtwoord opvragen, want hyves
kent mijn nieuwe mailadres niet.

Hoe los ik dit op? Heb me ook al willen afmelden om dan later weer aan te melden. Maar ook dit gaat niet lukken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.