Hyves gaat lekje in autorisatiesysteem dichten
Een lekje in het autorisatiesysteem van Hyves zorgt ervoor dat derden in sommige gevallen toegang tot profielen kunnen krijgen. Leon Kuunders ontdekte het probleem, dat alleen bij onoplettende gebruikers speelt. Toch vond de grootste sociale netwerksite van Nederland het beter om het gemelde probleem op te lossen. Dat zal het voor donderdag doen, waarna we ook meer details kunnen publiceren.
Kuunders was verrast door het probleem, ook al is het grotendeels een gebruikersfout. "Zeker als Hyves een OpenID provider wordt en wil optreden als betrouwbare bron voor gebruikerskenmerken zoals naam, adres en leeftijd is een dergelijke procedure onbegrijpelijk. Maar gelukkig eenvoudig te fixen", zo laat hij tegenover Security.nl weten.
Reacties (16)
25-01-2010, 16:56 door
Turkdale
Haha...
Dit is niet de enigste bug...
Stel ik heb Hyves Desktop geïnstalleerd en ik zet Automatisch inloggen aan.
Nadat ik 1x automatisch ingelogt ben en ik verander mijn wachtwoord, kan ik nog steeds verbinden met mijn Hyves account al log ik uit en in op Hyves Desktop.
Ik kan dan alles doen wat met Hyves Desktop kan dat gekoppelt is aan mijn account.
Omdat mijn bericht 2x niet beantwoord is toen ik deze bug meldde, meld ik het hier even ;)
Dit is niet de enigste bug...
Stel ik heb Hyves Desktop geïnstalleerd en ik zet Automatisch inloggen aan.
Nadat ik 1x automatisch ingelogt ben en ik verander mijn wachtwoord, kan ik nog steeds verbinden met mijn Hyves account al log ik uit en in op Hyves Desktop.
Ik kan dan alles doen wat met Hyves Desktop kan dat gekoppelt is aan mijn account.
Omdat mijn bericht 2x niet beantwoord is toen ik deze bug meldde, meld ik het hier even ;)
Lastig als je bij je man weggaat voor die lekkere Hyves bink, en je ex toch je profiel kan aanpassen nadat jij je password aangepast hebt.
Manlief heeft immers de pc nog.
Manlief heeft immers de pc nog.
25-01-2010, 17:36 door
Turkdale
Door Anoniem: Lastig als je bij je man weggaat voor die lekkere Hyves bink, en je ex toch je profiel kan aanpassen nadat jij je password aangepast hebt.
Manlief heeft immers de pc nog.
Inderdaad ;)Manlief heeft immers de pc nog.
Ach, ooit zal Hyves een x down worden gehaald door een geslaagde hacker en dan zullen ze daarndie mailtjes met bug-reports een x bekijken..(Als er een daarna komt :P)
Natuurlijk willen ze doen alsof ze serieus bezig zijn.... alleen een beetje jammer dat er nog steeds een privacy vraag bij hen al ruim een jaar open staat. Hyves != privacy bewust.
25-01-2010, 18:51 door
MarijnS
Turkdale, dat zou inderdaad een vervelende bug zijn! Ik heb zojuist geprobeerd om dit probleem te reproduceren, maar dat lukte niet. Na het veranderen van mijn wachtwoord was ik na een restart niet meer ingelogd op de Hyves Desktop.
Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)
Thanks!
Marijn
Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)
Thanks!
Marijn
@17:17 hahhaha ik ken nog veel meer mannen vrouwen die het zo hebben gedaan,ik heb er gelukkig geen last van mijn vriendin en ik doen niks anders dan gamen...hyves beiden of dat facebook en netlog moeten we allebei niks van hebben :-)
Haha ik heb dit 1 keer meegemaakt geloof ik, iemand kopieerde een hyves link naar me toe ik klikte erop en opeens was ik ingelogd als die persoon.
25-01-2010, 23:34 door
Turkdale
Door MarijnS: Turkdale, dat zou inderdaad een vervelende bug zijn! Ik heb zojuist geprobeerd om dit probleem te reproduceren, maar dat lukte niet. Na het veranderen van mijn wachtwoord was ik na een restart niet meer ingelogd op de Hyves Desktop.
Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)
Thanks!
Marijn
Het kan zo zijn dat deze bug gefixt is ;)Zou je misschien contact op willen nemen zodat we het uit kunnen zoeken? Marijn at hyves punt nl :)
Thanks!
Marijn
Het was rond September 2009 wel mogelijk.
Ik zal het eens nog eens proberen en als het dan wil, neem ik contact met je op en ga ik vervolgens hier uitleggen hoe het moet ;)
Als het niet wil, zet ik het hier ook neer en dan neem ok alsnog ook contact met je op :D
Nog een toevoeging, ik vindt het wel jammer dat Hyves grotendeels uit Javascript bestaat....
De website bestaat nu al een beetje lomp, soms sloom, soms snel, soms doet iets het niet en dan moet je refreshen en dan doet die het wel.
Het is naar mijn mening in de browsers waar ik Hyves getest heb: Firefox 3.6 en Internet Explorer 8 + Oude browser modus, nog hetzelfde.
Daar mogen ze naar mijn mening wel wat aan doen :S
Greetz,
Emre a.k.a. Turkdale
Andersom werkt ook :)
Mijn vriendin opende een link naar hyves in haar email (als het goed is dus gericht aan haar account) en komt in mijn account terecht, omdat ik op de betreffende machine automatisch ingelogd sta.
Mijn vriendin opende een link naar hyves in haar email (als het goed is dus gericht aan haar account) en komt in mijn account terecht, omdat ik op de betreffende machine automatisch ingelogd sta.
Hyves is pure tijdsverspilling.
Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.
Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.
Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.
Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.
Als ik het zo lees slaan mensen gewoon maar domweg hun account gegevens op in een cookie..
Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..
Beide natuurlijk een slechte zaak als je een PC deelt met iemand..
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..
Beide natuurlijk een slechte zaak als je een PC deelt met iemand..
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
Door Anoniem: Hyves is pure tijdsverspilling.
Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.
Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.
Hyves wordt door sommigen gezien als tijdverspilling maar het is een sociale netwerk site en mensen die graag bezig zijn met hun sociale contacten, melden zich aan op zulke site's en uiteindelijk bewijst het aantal leden wel of zo'n Sociale Netwerk Site, een succes of niet.Zal mij benieuwen wanneer mensen zich dat eens gaan beseffen en in een echte wereld gaan leven en wat meer tijd aan elkaar spenderen zoals vroeger.
Quality time, geen virtuele wereld.
Kortom, wanneer klapt net zoals de dot com bubbel ook deze bubbel.
Ik heb intotaal 5x gemaild met Hyves en 1x is die beantwoord door een ene Tugba ofzo en ik zie direct na paar dagen dat mijn idee is verwerkt!
Mijn idee was: Wanneer iemand je spot, dat diegene die gespot is een bericht krijgt door wie die gespot is :P
Ik vond het een pracht idee en verstuurde het dus meteen ;)
Dagje later kreeg ik antwoord en ze zouden ernaar kijken :P
Dat is dus wel gebeurt, maar met klachten zijn ze net dood...
Geen piepje te dat je tehoren krijgt.
26-01-2010, 14:13 door
Turkdale
Hyves wordt door sommigen gezien als tijdverspilling maar het is een sociale netwerk site en mensen die graag bezig zijn met hun sociale contacten, melden zich aan op zulke site's en uiteindelijk bewijst het aantal leden wel of zo'n Sociale Netwerk Site, een succes of niet.
Ik heb intotaal 5x gemaild met Hyves en 1x is die beantwoord door een ene Tugba ofzo en ik zie direct na paar dagen dat mijn idee is verwerkt!
Mijn idee was: Wanneer iemand je spot, dat diegene die gespot is een bericht krijgt door wie die gespot is :P
Ik vond het een pracht idee en verstuurde het dus meteen ;)
Dagje later kreeg ik antwoord en ze zouden ernaar kijken :P
Dat is dus wel gebeurt, maar met klachten zijn ze net dood...
Geen piepje te dat je tehoren krijgt.
@Moderator: Kan het bericht hiervoor verwijderd worden ?
Ik heb het gepost zonder in te loggen :P
Ik heb intotaal 5x gemaild met Hyves en 1x is die beantwoord door een ene Tugba ofzo en ik zie direct na paar dagen dat mijn idee is verwerkt!
Mijn idee was: Wanneer iemand je spot, dat diegene die gespot is een bericht krijgt door wie die gespot is :P
Ik vond het een pracht idee en verstuurde het dus meteen ;)
Dagje later kreeg ik antwoord en ze zouden ernaar kijken :P
Dat is dus wel gebeurt, maar met klachten zijn ze net dood...
Geen piepje te dat je tehoren krijgt.
@Moderator: Kan het bericht hiervoor verwijderd worden ?
Ik heb het gepost zonder in te loggen :P
26-01-2010, 14:15 door
Turkdale
Door Anoniem: Als ik het zo lees slaan mensen gewoon maar domweg hun account gegevens op in een cookie..
Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..
Beide natuurlijk een slechte zaak als je een PC deelt met iemand..
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
Ja opzich klopt het wel.Hyves doet blijkbaar geen controle of het geklikte linkje uit het mailtje overeenkomt met het account in het opgeslagen cookie..
Beide natuurlijk een slechte zaak als je een PC deelt met iemand..
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
Maar ik vindt het opzich wel leuk verzonnen dat 'Hyves' en 'Krabbelen' enzo.
Beetje mensen toevoegen :P
26-01-2010, 18:13 door
H.King
Door Anoniem:
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
Gezien de javascript meuk en authenticatie bugs van de Hyves site heb ik ok geen vertrouwen in de kennis van de programeurs daar.. ze zouden beter moeten weten..
En aan de manier waarop jij programmeur spelt kan ik opmaken dat jij geen programmeur bent. Want zover ik weet zijn er nog steeds geen grote bugs ontdekt in hyves, hooguit een paar kleine en dat kan de beste zelfs overkomen omdat programmeurs nou eenmaal met deadlines werken. Dus voordat jij afgeeft van program"m"eurs heb dan iig de kennis om dat te doen. Persoonlijk vind ik het namelijk vrij knap dat er nog geen XSS wormen of whatever rondspoken op hyves.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
