image

Hyves-gebruikers kwetsbaar voor wormaanval *update*

maandag 4 februari 2008, 13:52 door Redactie, 10 reacties

Een aantal weken geleden werd 700.000 Orkut-gebruikers het doelwit van een worm die logingegevens wist te stelen en blijkt ook dat Hyves-gebruikers kwetsbaar zijn. De Nederlandse beveiligingsonderzoeker Bart Kerkvliet ontdekte dat de populaire sociale netwerksite kwetsbaar voor een cross-site site scripting aanval was. Kerkvliet nam contact op met Hyves, maar werd daar naar eigen zeggen in eerste instantie niet serieus genomen. Hij probeerde het nog een keer, en kreeg toen te horen dat Hyves het lek zou dichten. Een controle door Kerkvliet liet zien dat het nog steeds mogelijk is om JavaScript te injecteren. Daarnaast liet Hyves weten dat de kwetsbaarheid toch niet zo gevaarlijk was.

Een aanvaller hoeft volgens de onderzoeker niet veel werk te verrichten. De kwetsbaarheid maakt het mogelijk om 1 gebruiker de kwaadaardige link die de exploit bevat te laten openen. De worm zal dan op de Hyves-pagina van alle contacten van deze gebruiker een link achterlaten. Deze contacten openen de link, waarna de worm bij de vrienden van deze contacten dezelfde link achterlaat.

Full-disclosure dwang
Kerkvliet publiceerde via beveiligingsonderzoeker Ronald van den Heetkamp zijn bevindingen. "Als ze het niet verhelpen, is het aan ons en kerels zoals hij om ze via full-disclosure te dwingen," zegt van den Heetkamp.

De onderzoeker ziet verschillende mogelijkheden om het lek te misbruiken. "Account phishing, of het stelen van login gegevens spreekt natuurlijk het meest tot de verbeelding omdat dit snel en eenvoudig te doen is. Het enige wat men hoeft te doen is een link met een remote javascriptje aan iemand te sturen. Of verbergen in een 'tinyurl'. Het pseudo de-facen van Hyes is uiteraard heel simpel en werkt op eenzelfde manier," laat van den Heetkamp tegenover Security.NL weten.

Twee jaar geleden onderzocht hij zelf ook al een keer de sociale netwerksite, en toen was het lek nog niet aanwezig. "Waarschijnlijk is er in de tussentijd het een en ander aangepast waardoor ze nu wel kwetsbaar zijn voor een van de meest voorkomende XSS kwetsbaarheden." We hebben Hyves om een reactie gevraagd, maar die hebben we op moment van publicatie niet mogen ontvangen.

Update 15:13
Hyves laat in een reactie weten dat de oplossing tijdelijk niet actief is geweest, waardoor het lek bleef bestaan. Inmiddels zou het wel zijn verholpen. Wat betreft het serieus nemen van meldingen over de veiligheid zegt Raymond Spanjar tegenover Security.NL.

"Bij een eerdere melding is niet snel genoeg gereageerd omdat er geen speciaal adres was voor beveiligingslekken, en dit via het contact formulier werd gemeld, of als prive bericht op mijn Hyves account, en ook nog tijdens mijn vakantie. Vanaf deze week zullen we daarom het adres security@hyves.nl speciaal voor dit soort meldingen vermelden op de website, zodat we hier heel snel op kunnen reageren." Tevens vraagt de sociale netwerksite regelmatig hackers om de beveiliging te testen.

Reacties (10)
04-02-2008, 14:03 door DarkieDuck
volgens mij hebben ze het al gepatched
04-02-2008, 15:27 door Anoniem
Laat ze dan ook meteen eens HTTPS implementeren... stelletje
amateurs

-Jeroen
04-02-2008, 15:53 door PV
Tevens vraagt de sociale netwerksite regelmatig hackers om de
beveiliging te testen.

slechte hackers.....

30 secs:
http://www.hyves.nl/interest/3747?a=<script>alert('xss');</script>

url beetje verpest door de submit, maar dan moet je zelf maar uitvogelen wat ik bedoelde :)

en denk dat ik er zo nog een hoop kan vinden.
04-02-2008, 15:58 door Anoniem
Door PV
Tevens vraagt de sociale netwerksite regelmatig hackers om de
beveiliging te testen.

slechte hackers.....

30 secs:
http://www.hyves.nl/interest/3747?a=<script>alert
('xss');</script>

url beetje verpest door de submit, maar dan moet je zelf maar uitvogelen
wat ik bedoelde :)

en denk dat ik er zo nog een hoop kan vinden.

Je bent goed bezig...
04-02-2008, 22:50 door Arno Nimus
...maar werd daar naar eigen zeggen in eerste
instantie niet serieus genomen.
Bekend verschijnsel. Een tijdje geleden heb ik ook een bug
geprobeerd aan te melden die is opgetreden na de invoering
van de nieuwe interface. In eerste instantie kreeg ik een
mail van een hersenloze die blijkbaar ergens in m'n mailtje
het woord 'foto' had gelezen en dus een standaard reply
stuurde met oplossingen voor problemen met het uploaden van
foto's terwijl het probleem daar in de verste verte geen
raakvlak mee had. Na daar op gereageerd te hebben ontstond
er een mailwisseling waarmee ik wat dingetjes moest testen
(temp. internetfiles + cookies weggooien b.v.). Nadat meldde
dat ik dat gedaan heb en dat ik het ook met verschillende
browsers op meerdere PC's voorzien van verschillende OS'en
uit verschillende netwerken getest heb kreeg ik uiteindelijk
een mailtje dat het in mijn PC moest zitten en dat zij er
geen energie in wilden steken het op te lossen.
05-02-2008, 08:30 door Anoniem
@incompatible en anderen: dat is erg irritant inderdaad...

Kern van het probleem was dat de security meldingen via het
contactformulier binnen kwamen (dat is onze fout, niet die
van jullie natuurlijk want er was geen andere methode).

De afgelopen maanden is Hyves erg hard gegroeid, en het
aantal mails met vragen groeit lineair mee. Onze support
niet. Dus kwamen er 1500 mails per dag binnen die niet goed
beantwoord werden. Daarom zijn er ook security meldingen
niet goed behandeld.

Met de introductie van het speciale emailadres
security@hyves.nl gaan we ervan uit dat op te lossen. Ik
hoop dat duidelijk is dat we natuurlijk erg blij zijn met
meldingen en altijd direct dit zo spoedig mogelijk proberen
te verhelpen!

Raymond Spanjar
05-02-2008, 08:33 door [Account Verwijderd]
[Verwijderd]
05-02-2008, 09:32 door Anoniem

30 secs:
http://www.hyves.nl/interest/3747?a=<script>alert('xss');</script>[/url]
url beetje verpest door de submit, maar dan moet je zelf
maar uitvogelen wat ik bedoelde :)
Wat je ook bedoelde: hij werkt niet of niet meer.
05-02-2008, 10:40 door PV
Door Anoniem

30 secs:
http://www.hyves.nl/interest/3747?a=&lt;script&gt;alert
('xss');&lt;/script&gt;[/url]
url beetje verpest door de submit, maar dan moet je zelf
maar uitvogelen wat ik bedoelde :)
Wat je ook bedoelde: hij werkt niet of niet meer.

Blijkbaar lezen ze dit forum :)

@Nielsk: mijn post was ook bedoeld om aan te geven dat het vinden van
XSS in een website suf is en eigenlijk een post op security.nl niet waard.
Als het mij 30 seconden kost om iets te vinden betekend dat gewoon dat
Hyves niet netjes z'n werk gedaan heeft, en ja dan kun je een worm
loslaten op het Hyves netwerk, maar dan is alleen een artikel over de
mogelijk techniek daarachter interresant, niet een heel verhaal over
iemand die een XSS gevonden heeft en daar moeilijk over doet.
Ga dan echte gaten vinden :)
05-02-2008, 12:25 door Anoniem

@Nielsk: mijn post was ook bedoeld om aan te geven dat het
vinden van
XSS in een website suf is en eigenlijk een post op
security.nl niet waard.
Als het mij 30 seconden kost om iets te vinden betekend dat
gewoon dat
Hyves niet netjes z'n werk gedaan heeft, en ja dan kun je
een worm
loslaten op het Hyves netwerk, maar dan is alleen een
artikel over de
mogelijk techniek daarachter interresant, niet een heel
verhaal over
iemand die een XSS gevonden heeft en daar moeilijk over doet.
Ga dan echte gaten vinden :)

Quote pdp:
"Even if XSS is the lamest for of attack, you cannot deny
its effectiveness."

Een XSS mag dan vrij simpel zijn, maar dat betekent niet dat
ze geen vervelende gevolgen kunnen hebben en je ze als
minder belangrijk kan/moet bestempelen.
Als Hyves zijnde, met een ruime 5 miljoen leden inmiddels,
is het toch belangrijk om de privacy en zaken als web
security op orde te hebben.
Misschien is het ook geen post waard op security.nl, dat is
niet onze beslissing, maar Hyves is natuurlijk wel heel
bekend in Nederland en zo trek je toch lezers aan.
Zo zie je ook maar weer eens dat grote bedrijven niet altijd
de zaakjes helemaal netjes op orde hebben, wat ik ze
overigens niet helemaal kwalijk neem, mits zoiets dan maar
herstelt wordt en een volgende keer hier beter mee omgegaan
kan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.