Hyves e-mail zorgde voor lek in autorisatiesysteem
Een e-mail die Hyves naar gebruikers stuurde na het aanpassen van het e-mailadres, gaf derden toegang tot het profiel. Wie op de populaire sociale netwerksite zijn of haar e-mailadres wijzigt, ontvangt ter bevestiging een e-mail. Dit e-mailbericht was standaard van de Hyves-footer voorzien, met daarin een link naar het profiel van de aanvrager. Via deze link is het mogelijk om direct op het profiel van de gebruiker in te loggen. Een gebruiker die bij de wijzigingsprocedure een verkeerd e-mailadres opgeeft, geeft voor de bevestiging dat het e-mailadres aan hem of haar behoort, de ontvanger van de e-mail volledige controle over het profiel.
Leon Kuunders, die het probleem ontdekte, kreeg in korte tijd twee bevestigingmails van verschillende Hyvers. "Hyves zou in de bevestigingsmail de Hyves-footer niet moeten toevoegen", zo laat hij aan Security.nl weten. "Gezien de inhoud van die e-mail 'Je hebt een nieuw e-mailadres ingevuld. Bevestig ajb dat het echt die van jou is', is het natuurlijk van de zotte dat daarmee wel toegang wordt verleend tot het profiel." Hyves werd zondag ingelicht en liet maandag weten dat het probleem voor vandaag zou zijn opgelost. "Dit probleem ontstaat alleen na foute invoer door een gebruiker, maar we gaan het aanpassen", aldus mede-oprichter Raymond Spanjar.
- Liefdesaanzoeken (en nee, niet voor mij ;)), gevaar: chantage
- Interne presentaties (met cijfers) van een grote telco, gevaar: voorkennis voor concurrent
- Rekeningen van een psychiater, gevaar: chantage
- Een orderbevestiging van een webshop, gevaar: identiteitsdiefstal
- Een complete uitwerking van een vakantieplan, gevaar: inbraak (data zijn bekend)
- Nieuwe prijzen van nog niet uitgekomen Apple producten, gevaar: geruchtenstroom, persoonlijke reprimande medewerker
- Gerechtelijke stukken, gevaar: chantage tot fysiek gevaar (represailles)
enz... inclusief alle accounts die her en der met mijn e-mail adres worden aangemaakt (interessante vraag: ben ik dan ook meteen eigenaar van dat account?).
Geloof me, typos in mailadressen komen veel voor.
leuk foutje, maar werkelijk bijna niet de moeite van het vermeldenwaard..
- Liefdesaanzoeken (en nee, niet voor mij ;)), gevaar: chantage
- Interne presentaties (met cijfers) van een grote telco, gevaar: voorkennis voor concurrent
- Rekeningen van een psychiater, gevaar: chantage
- Een orderbevestiging van een webshop, gevaar: identiteitsdiefstal
- Een complete uitwerking van een vakantieplan, gevaar: inbraak (data zijn bekend)
- Nieuwe prijzen van nog niet uitgekomen Apple producten, gevaar: geruchtenstroom, persoonlijke reprimande medewerker
- Gerechtelijke stukken, gevaar: chantage tot fysiek gevaar (represailles)
enz... inclusief alle accounts die her en der met mijn e-mail adres worden aangemaakt (interessante vraag: ben ik dan ook meteen eigenaar van dat account?).
Geloof me, typos in mailadressen komen veel voor.
Enkele van deze zaken uit de opsomming lijken mij op zichzelf al heel erg bijzonder (liefdesaanzoek, nieuwe appleproducten, gerechtelijke stukken), maar dat jij dat allemaal op jouw emailadres hebt ontvangen lijkt me toch wel heel erg sterk!
Ahahha wel nice gedaan...
Een kennis van me heeft ook verkeerde e-mail ingesteld, ik kreeg mailtjes van zijn krabbels etc en kon idd inloggen via een link.
En toen heb ik het maar gezegt :P
Nu ontvang ik niks meer..
Wat ik me dan wel afvraag, stel dat je niks zegt (niet verplicht) en je misbruikt de ontvangen data, wie draait daar dan uiteindelijk voor op? Ik heb immers niet om die mails gevraagd (fout van de verzender) en die klassieke footers over 'geadresseerden' gaan niet op (immers, hoe kan ik _niet_ de geadresseerde zijn en wel de e-mail ontvangen?), of doelen ze op 'tenaamstelling'?
=============================================================================
De informatie opgenomen in dit bericht kan vertrouwelijk zijn en is uitsluitend bestemd voor de geadresseerde.
Indien u dit bericht onterecht ontvangt, wordt u verzocht de inhoud niet te gebruiken en de afzender direct te informeren door het bericht te retourneren.
=============================================================================
The information contained in this message may be confidential and is intended to be exclusively for the addressee.
Should you receive this message unintentionally, please do not use the contents herein and notify the sender immediately by return e-mail.
=============================================================================
Is juridisch net zo sterk als een kaartenhuis bij windkracht 10 , maar toch.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
