Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opnieuw ontwikkelt tiener (14) Hyves Hack

30-04-2010, 12:34 door Anoniem, 51 reacties
Filmpje: http://www.youtube.com/watch?v=qvfj3e3rfy4

De nu 14 jarige Damiaan Reijnaers, heeft opnieuw een programma ontwikkelt waarmee het mogelijk is de beveiligingen van Hyves te omzeilen.

Eerder "kraakte" Damiaan Reijnaers op 13 jarige leeftijd al Hyves en kwam daarmee in meerdere kranten waaronder BN De Stem, KidsWeek en een aantal kleinere kranten.

De tiener in kwestie meld nog een aantal kleinere lekken te hebben gevonden onder zijn pas geplaatste YouTube filmpje over zijn nieuw gevonden mogelijkheid.

<object width="475" height="385"><param name="movie" value="http://www.youtube-nocookie.com/v/qvfj3e3rfy4&hl=en_US&fs=1&rel=0"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube-nocookie.com/v/qvfj3e3rfy4&hl=en_US&fs=1&rel=0" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="385"></embed></object>
Reacties (51)
30-04-2010, 16:59 door Anoniem
Ik vind het nogal aandachttrekkerij ik ken genoeg 'jongens' die ook zulke dingen vinden en melden. Maar die gaan niet meteen bij kranten melden, 'Wow! Check wat wij kunnen! Ach ik ben maar een programmeurtje hoor! ;-)".
30-04-2010, 18:01 door Anoniem
Zoals anoniem boven mij al zegt, aandacht trekkerij. Ik ken deze jongen al een tijdje en bij alles wat hij uitvind word dat ruimschoots gemeld.

Leuk dat hij dit ontdekt maar ik vind hem een beetje mediageil.
30-04-2010, 18:15 door Anoniem
Sukkel, waarom zo uitsloven, ik heb er een aantal in MSN diensten gevonden en keurig netjes vermeld en het werd binnen 5 dagen gefixt (: mij zie je daar geen interviewtje op de kranten geven
30-04-2010, 19:58 door Anoniem
ontwikkelt ..?
30-04-2010, 20:02 door Anoniem
Waar wat kan je met deze "hack"? Dit word niet echt duidelijk uit dit muzikale filmpje.. Ik zie dat iemand een mailtje krijgt met daarin een wachtwoord. Kan je op deze manier iemand zijn hyves-wachtwoord stelen? Is dat het?
30-04-2010, 21:08 door Anoniem
Door Anoniem: Waar wat kan je met deze "hack"? Dit word niet echt duidelijk uit dit muzikale filmpje.. Ik zie dat iemand een mailtje krijgt met daarin een wachtwoord. Kan je op deze manier iemand zijn hyves-wachtwoord stelen? Is dat het?
Het lijkt op de barack obama/ sarah palin "hack" alternatief mailadres voor wachtwoord resetten.
Ik weet niet of hij echt het email adress mee geeft of niet.. lijkt er wel op.
Dat zou best slordig zijn dat je clientside het reset mailadress krijgt :)
Maarja dat hyves lek was is al langer bekend :)
30-04-2010, 21:43 door MarijnS
Bij Hyves is niets binnengekomen over deze mogelijke hack, en ook uit het filmpje wordt helaas niet duidelijk wat er mis zou gaan.

Wij kunnen dus ook niet snel actie ondernemen op basis van dit filmpje; mocht dit nodig zijn uiteraard.

Sinds Damiaan's eerdere hack (wat eigenlijk een brute-force inhield), heeft hij mijn e-mailadres / Hyves, dus het zou fijn zijn als hij het via die weg nog eens uitgebreid kan uitleggen.

Marijn Speelman,
Hyves
30-04-2010, 23:01 door Anoniem
De vader vind de lekken en hij maakt erover een video en doet netalsof hij alles zelf doet cool.
30-04-2010, 23:24 door Anoniem
Door Anoniem: ontwikkelt ..?

Tja... "ontwikkelt", "meld"... Techniek gaat hem blijkbaar beter af dan Nederlands ;-)
30-04-2010, 23:34 door Anoniem
Hmmm, als ik zo naar het filmpje kijk gebeurt er het volgende:
1. Er wordt gecontroleerd of een Live adres in gebruik is door met RCPT TO aan te geven dat je een mail wilt afleveren. Hotmail geeft aan dat een adres vrij is (lees: verbiedt het afleveren van mail op een niet bestaand adres).
2. Er wordt gecontroleerd of een niet-geregistreerd Live adres wel bij Hyves in gebruik is. Als je "slachtoffer" een (msn, gmail, etc) mailadres bij hyves heeft opgegeven dat niet in gebruik is, registreer je dit mailadres.
3. Vervolgens reset je het wachtwoord.

Tenzij er in de mail niet getoonde stappen zijn, ziet dit er niet echt indrukwekkend uit. De enige kwetsbaarheid die er wordt aangetoond is een gebruikersfout (Hyves registeren met een mailadres dat je niet bezit) en geen Hyves-fout.

Damiaan: 1 april is al een maandje geleden...
30-04-2010, 23:45 door Erwtensoep
Het halve youtube filmpje bestaat uit artikelen over zichzelf, wat een ego...
01-05-2010, 01:41 door Anoniem
Door Anoniem: Sukkel, waarom zo uitsloven, ik heb er een aantal in MSN diensten gevonden en keurig netjes vermeld en het werd binnen 5 dagen gefixt (: mij zie je daar geen interviewtje op de kranten geven

Chronisch jaloers soms ?
01-05-2010, 08:46 door Anoniem
Idd een egotripper.
Ik denk dat er wel meerdere mensen zijn die de 'kennis' hebben om zo van die dingen te 'onderzoeken', te doen.
Dat er kwetsbare lekken zitten in software programma's dat lijkt mij niet echt nieuw en weet ondertussen wel iedereen.
De maker van de software erop attenderen dat er lekken zitten in zijn/haar programma's lijkt mij betere actie misschien zelfs een winstgevende om zich daarna in een stilzwijgen te hullen.
En last but not least, die (A)sociale netwerken zaten die niet vol lekken. *proest*
Get a live!
01-05-2010, 11:50 door H.King
ben blij dat hij denkt dat die goed is, is er teminste 1 iemand die dat denkt.
01-05-2010, 14:24 door [Account Verwijderd]
[Verwijderd]
01-05-2010, 18:22 door [Account Verwijderd]
He Damiaan, keurig hoor, wat een kei, ben jij, en dat je op Security.nl, jou huis,tuin en keukenactiviteiten, mag vertonen.
Nou,nou, geeft je wel een streepje voor tijdens het battlen op de kinderspeelplaats, met je maten.
Security.nl wat is dit nou..????? Zijn jullie van het serieuze pad afgeweken.???
Dit is lachwekkend......Krijgen we de volgende keer, te lezen, over een foetus, die de dna-code van de moederkoek (placenta), gaat kraken via een al of niet openstaande poort (lees vag.na)?????
Brrrrrrrrrrrrrrrr
Back to the basics graag, wij (ik althans) heb niet zoveel op met ego-tripperij .

ps. Het zou ook kunnen zijn, dat Damiaan een 5 jarig kind is van een redactie-lid, en hij, dat redactie-lid, heeft dus op aandringen van zijn vrouw dit item geplaatst. Jaja, de wereld zit heel vreemd in elkaar.
01-05-2010, 20:08 door Acces Denied
Aandacht te kort Damiaan? Stoer hoor!
01-05-2010, 21:11 door PeterBD
Door MarijnS: Bij Hyves is niets binnengekomen over deze mogelijke hack, en ook uit het filmpje wordt helaas niet duidelijk wat er mis zou gaan.
Wij kunnen dus ook niet snel actie ondernemen op basis van dit filmpje; mocht dit nodig zijn uiteraard.
........
Marijn,

Als je goed je best doet lees je wel een emailadres wat kennelijk gebruikt is.
Ik mag aannemen als je die grept door je logfiles heen, dat hij er dan wel uit moet komen?
Het lijkt me niet de meest onmogelijke taak om uit te zoeken wat hij gedaan heeft....
02-05-2010, 03:08 door [Account Verwijderd]
[Verwijderd]
02-05-2010, 15:23 door H.King
en gelukkig weet marijn niet waar hij het over heeft, en werkt hij niet voor hyves. zucht
02-05-2010, 20:44 door Anoniem
Hyves gebruikt nog steeds certificaten die md5 hashes bevatten.

Over veiligheid gesproken :P
03-05-2010, 07:29 door TheDevilOnLine
Het enige wat hier gebeurd is dat er maar op 1 link gedrukt moet worden (de eerste bevestigings link in de mail) en dat de rest van het registratie process geautomatiseerd kan worden. Er wordt hier ook geen account gehackt (de geregistreerde account is namelijk http://el-4ra.hyves.nl/).

Al met al: niks moeilijks dus (een script schrijven om formulieren in te vullen en op knopjes te drukken is naar mijn mening tenminste niks moeilijks, de captcha op hyves omzeilen is ook niet lastig).

Kortom: waar maken we ons nou druk om?
03-05-2010, 09:52 door Silver
Door H.King: en gelukkig weet marijn niet waar hij het over heeft, en werkt hij niet voor hyves. zucht

En dit weet jij....hoe?
03-05-2010, 11:57 door tweaktubbie
"Dit is een privevideo". Lekker. Was het zo top secret of niet boeiend dat ie weg is?
03-05-2010, 13:25 door Anoniem
prive video.... wat hebben we daar nu weer aan...
03-05-2010, 16:53 door H.King
Door Silver:
Door H.King: en gelukkig weet marijn niet waar hij het over heeft, en werkt hij niet voor hyves. zucht

En dit weet jij....hoe?
Door zijn bericht te lezen ? dat was sacarstisch bedoelt mocht je het niet door hebben.
03-05-2010, 18:00 door [Account Verwijderd]
[Verwijderd]
04-05-2010, 03:15 door Anoniem
Laat deze tiener eerst eens goed Nederlands leren.

Dat gehack van hem is helemaal fake: hij doet niets wat nog niet algemene kennis is.

En de aandacht voor dit manneke (?) op deze site is helemaal zielig.

Dus:
terug naar school, leer een vak, lutser!
04-05-2010, 03:20 door Anoniem
Hey Damiaan, als je een kerel bent, hack je nu mijn Hyves.

De groenten.
04-05-2010, 08:42 door Anoniem
You are all jalous
04-05-2010, 22:21 door MokumsKid
Wauw! Gefeliciteerd, trek nog effe en veeg daarna je beeldscherm vol. Echt een kansloos joch, om van elke """hack""" die hij heeft gemaakt een filmpje te maken en dan hoopt op publiciteit (en dan is het ook nog iets wat we zomooi social engineering noemen).

Heb zelf ook lekken gemeld bij Hyves en kreeg daar gewoon een bedankje + beloning voor en daarmee is de kous af. Geen poespas met filmpjes of publiciteit (misschien ooit is in m'n portfolio als beveiliger) maar meer ook niet. Laat hem maar is een middagje bezig op http://www.example.com en een filmpje posten met fail, ohnee. Heeftie' in feiten al gedaan.
05-05-2010, 00:01 door [Account Verwijderd]
[Verwijderd]
05-05-2010, 01:45 door [Account Verwijderd]
Ik realisereer mij nu hoe stom het is/was om te reageren, op Damiaan's nijverheid. Hij/ Zij is mogelijkerwijs een student Communicatie. Petje af voor hem/haar, geen van onze reacties heeft een ankerpunt, bij de vorige reactie/reacties, sterker nog, wij laten onze emoties tav zijn/haar publicatie, prevaleren boven hetgeen wat hij/zij naar voren brengt.
Zijn/ Haar conclusie zal zijn: De bezoekers van Security.nl zijn emotionele mensen die graag wat meer willen leren van de ander, en de ander ook willen laten leren van hun kunnen, maar het moment dat je oerstom tewerk gaat (een gedragscode die niet opgelegd is geworden door Security.nl), wordt je neergesabeld.

Ok daar kan ik mee leven, maar lieve dochter/zoon, wees ook communicatief naar Pappa en Mamma toe, ze hebben een e-bedrijf, en zijn bekend met 0,00001 promille van het ICT- reilen en zeilen ( ik ook trouwens). Dus een gepaste nederigheid, zoals het goede (ICTOuder(s))- opvoeders betaamt, zou op zij plaats zijn.( Wees geen zeilmeisje)
Voor de rest, ga zo voort, met jou proefschrift, gelezen aan de reacties (incl.mijn reacties) komt het wel goed.
Peet1
06-05-2010, 11:12 door Mazzaroth
Door peet1: Ik realisereer mij nu hoe stom het is/was om te reageren, op Damiaan's nijverheid. Hij/ Zij is mogelijkerwijs een student Communicatie. Petje af voor hem/haar, geen van onze reacties heeft een ankerpunt, bij de vorige reactie/reacties, sterker nog, wij laten onze emoties tav zijn/haar publicatie, prevaleren boven hetgeen wat hij/zij naar voren brengt.
Zijn/ Haar conclusie zal zijn: De bezoekers van Security.nl zijn emotionele mensen die graag wat meer willen leren van de ander, en de ander ook willen laten leren van hun kunnen, maar het moment dat je oerstom tewerk gaat (een gedragscode die niet opgelegd is geworden door Security.nl), wordt je neergesabeld.

Ok daar kan ik mee leven, maar lieve dochter/zoon, wees ook communicatief naar Pappa en Mamma toe, ze hebben een e-bedrijf, en zijn bekend met 0,00001 promille van het ICT- reilen en zeilen ( ik ook trouwens). Dus een gepaste nederigheid, zoals het goede (ICTOuder(s))- opvoeders betaamt, zou op zij plaats zijn.( Wees geen zeilmeisje)
Voor de rest, ga zo voort, met jou proefschrift, gelezen aan de reacties (incl.mijn reacties) komt het wel goed.
Peet1

Juist... toch? I'm confused
06-05-2010, 17:02 door Anoniem
Heb hem op msn, zijn vorige hack ging over een e-mailadres om op blogs te posten met 2 karakters in het e-mailadres waardoor je dus na ongeveer 1200 of 2500 mails weet niet meer precies het e-mailadres liet raden en je zo mensen hun blogs kon volposten. Dit liet hij ook graag merken met 'Ik had Jan Smit wel kunnen 'hacken' etc.'
Van te voren liet hij zijn script zien en daar bleken zo rond de 2500 vars in te staan ($var1= 'aa' $var2='ab' etc.) om dat e-mailadres af te gaan. Heb dat script nog voor hem aangepast ook omdat het anders een beetje sloom en inefficient was, vervolgens gaat hij het groot in de publiciteit proberen te brengen ipv het gewoon even netjes te melden aan hyves.
07-05-2010, 09:30 door [Account Verwijderd]
[Verwijderd]
07-05-2010, 11:00 door wasseneus
Door peet1:


van Security.nl zijn emotionele mensen




(vaak) Eerder labiele mensen.
10-05-2010, 08:21 door Anoniem
hij is niet de enige persoon hoor
http://www.youtube.com/watch?v=pm-vmua5RIY
10-05-2010, 18:27 door Anoniem
lol allemaal jaloers
11-05-2010, 13:15 door Anoniem
Wat ze allemaal niet doen om een beetje in de belangstelling te geraken of denken of er denken in te geraken bij anderen.
Ik zou de kranten ook aanraden er geen aandacht meer aan te besteden, daar is het die mediageile figuurtjes juist om te doen.
Aan de persoon zelf zou ik zeggen 'Grow Up'
Een reactie op het filmpje: 'Who Cares?'
11-05-2010, 20:55 door DNA
Door Anoniem: hij is niet de enige persoon hoor
http://www.youtube.com/watch?v=pm-vmua5RIY


Maar ehhh, deze personen die dit doen worden toch hopelijk wel opgespoord o.i.d.

Ze zetten nota bene het filmpje online? Vindt het überhaupt belachelijk dat er sites zijn
die tegen betaling een hack-tooltje aanbieden en daar gewoon mee wegkomen.

Hopelijk laat dit tooltje een historie achter in de database van hyves. Zodat deze persoon
snel achterhaald wordt.

By the way dit tooltje zou zomaar een trojan kunnen zijn waar de verkopers een botnet mee opzetten.

DNA.
07-06-2010, 15:30 door Anoniem
Hackers, crackers en scriptkiddies die zo graag laten zien dat ze iets kunnen omzeilen, vind ik prutsers.
Een professional houdt zijn bevindingen te allen tijde geheim.
Veel 'scriptkiddies' gebruiken meestal tooltjes die ze van internet plukken en zelf kunnen en weten ze helemaal niets! En dan aan vriendjes laten zien dat ze zo kundig zijn... Yeah right!
07-06-2010, 19:38 door spatieman
en dadelijk is die volwassen.
doet die het weer, dan mag die mischien 20 jaar zeepjes rapen voor bubba.
08-06-2010, 18:58 door Anoniem
Best goed... maar echt heel bijzonder is het niet. Hij overdrijft het wel een beetje...
14-09-2010, 20:34 door Anoniem
wtf hij is 14 en kan nu al hacken wat wordt het als hij groot is?!!
je ben gewoon goed als je dit kan!!!!
15-09-2010, 11:50 door Anoniem
Heeft die snotneus echt niets anders te doen, get a life zou ik zeggen!!!
19-05-2011, 09:18 door Anoniem
Ernstige vorm van megalomanie dat baasje.
Wat doet die zijn vader of zijn moeke?
19-05-2011, 09:23 door Anoniem
iedereen zit hier te zeuren om niks met "get a life" en dat soort onzin, damian vind programmeren duidelijk leuk om te doen en wil zeker zijn kennis uitbreiden en als hij hiermee in het nieuws komt voor iets wat hij leuk vind zou ik zeggen laat hem lekker.

als je het er niet mee eens bent bemoei je er dan lekker niet mee ik bedoel er zijn genoeg andere dingen waar je kan kijken, je bent niet verplicht om dit te lezen en hij heeft hyves weer een stukje veiliger gemaakt nu dit bekent is.

jullie mogen hem dankbaar zijn voor het zelfde geld had hij dit allemaal stil gehouden en hyves accounts binnengehaald ik ben zelf niet zo een hyver maar ken genoeg mensen die bijna niet meer zonder kunnen
19-05-2011, 10:26 door SirDice
Dames, deze thread is een dik jaar oud.
19-05-2011, 11:47 door Mysterio
Door SirDice: Dames, deze thread is een dik jaar oud.
Het zou wel fijn zijn als een discussie gesloten kan worden na een lange tijd van geen reacties. Leuk om na te lezen, maar niet meer om op te reageren.
19-05-2011, 12:03 door SirDice
Dat zou inderdaad geen kwaad kunnen. Als er inhoudelijk iets aan toegevoegd wordt heb ik er geen probleem mee maar meestal is de toegevoegde waarde nul.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.