Nieuws

"Afgeschermde Hyves profielen toch zichtbaar"

dinsdag 6 april 2010, 17:30 door Redactie, 29 reacties

Veel mensen hebben hun Hyves profielen niet goed ingesteld, waardoor afgeschermde accounts toch zichtbaar zijn. Dat beweert digitaal recherchebureau Com-connect. Het bedrijf controleerde in samenwerking met digitaalonderzoeker.nl honderd profielen en ontdekte dat zestig gebruikers de instellingen van hun foto's niet goed hadden ingesteld. Het probleem wordt veroorzaakt door de RSS feeds van Hyves. Daarmee is het mogelijk om toegang te verkrijgen tot de foto's, widgets en blogs van afgeschermde accounts. "Dit is niet de fout van Hyves, maar de fout van de gebruikers", aldus de onderzoekers.

Onveilig
Vaak zijn de standaard instellingen niet aangepast, maar soms stellen de mensen dit ook zelf in. Gebruikers zouden denken dat met het afschermen van het profiel, alle onderdelen ontoegankelijk worden, wat niet zo is. De onderzoekers spreken van een "schrikbarend resultaat".

"Deze mensen denken dat niemand bij hun foto’s, widgets e.d. kan. Het tegendeel is waar, via de RSS feeds zijn deze gegevens gewoon te bereiken." Krabbels zijn meestal niet via RSS zichtbaar, omdat Hyves deze instelling standaard voor de gebruikers wel goed instelt. De onderzoekers benadrukken dat de fout niet bij Hyves zelf ligt, maar bij de gebruikers die de rechten niet goed instellen. "Hyves zelf geeft de opties om dit te voorkomen, alleen maken de gebruikers hier te weinig gebruik van."

Terreuralarm Nederland blijft beperkt

Microsoft: Virusscanner kan patch niet vervangen

Reacties (29)

06-04-2010, 17:54 door Anoniem

Hyves???

06-04-2010, 18:07 door Anoniem

"de onderzoekers benadrukken dat de fout niet bij Hyves zelf ligt"

halve waarheid,
was die standaard reeds volledig afgeschermd dan zou al heel wat helpen

06-04-2010, 18:34 door Anoniem

Dit is een major security leak van Hyves.

Gebruikers kunnen niet van alles op de hoogte zijn maar dit is iets waar een gebruiker eigenlijk vanuit mag gaan als hij zijn profiel op PRIVE zet dit ook voor het hele profiel geldt.

Hyves BV, werk aan de winkel zou ik zeggen!

06-04-2010, 19:06 door Anoniem

Sorry no offence, maar de meeste mensen die op hyves zitten zitten daar voor de gezelligheid en niet een cursus security. het lijkt mij dan ook logisch dat of: de rss beveiliging beter zichtbaar word, of deze standaard word mee gepakt bij het afschermen van het account, de fout ligt dus WEL bij hyves want blijkbaar weet het merendeel van de mensen niet van deze optie af. tijd om het wat duidelijker bij de rest van de opties te zetten en niet te verstoppen?

06-04-2010, 19:09 door Anoniem

Dit probleem treedt op als men foto's in het album "Iedereen" plaatst (of een ander publiek album) en vervolgens het profiel afschermt voor Hyvers die niet ingelogd zijn. Via de RSS feeds zijn publieke albums te benaderen. Waarom zou dit geen fout van Hyves zijn? Je kiest er bewust voor om het profiel af te schermen voor niet-Hyvers... waarom zouden de feeds dan nog beschikbaar moeten zijn?

06-04-2010, 19:18 door Anoniem

Lol wat een giller.

06-04-2010, 21:09 door _Peterr

Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.

06-04-2010, 21:27 door libris

actie op ondernemen?

06-04-2010, 21:50 door Anoniem

@ Peter

Je bedoeld misbruik van maken?

06-04-2010, 21:54 door Anoniem

Dit heeft al zo'n baard...
Als "digitaal recherchebureau Com-connect" een beetje had gelezen op wat internetforums dan hadden ze deze scoop een jaartje eerder kunnen brengen.
Zie bijvoorbeeld dit topic waarbij de welbekende foto's van die moordenaar met dit trucje zijn gedownload: http://www.geenstijl.nl/mt/archieven/2010/03/milly_boele_gevonden.html

06-04-2010, 21:58 door PeterBD

Door _Peterr: Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.

http://www.hyves.nl/profielbeheer/ onder het kopje koppel content kan je eea aanpassen.

06-04-2010, 22:21 door PeterBD

Even getest....
Als ik ingelogd ben en ik ga naar gebuikersnaam..hyves.nl/rss en ik klik op fotos/videos, dan zie ik content...
Ik krijg een pagina met "html" code met daarin urls naar fotos.
Dit zijn zo te zien wel de fotos die ik ook te zien krijg als ik gewoon naar de fotomap van gebruiker ga.

Als ik NIET ingelogd ben, krijg ik de melding dat het profiel niet zichtbaar is voor iedereen.

06-04-2010, 22:24 door Anoniem

06-04-2010, 22:28 door Anoniem

Hyves is zoooooo 2005

06-04-2010, 22:29 door libris

Het ligt eraan hoe jij je rechten hebt staan op, laten we zeggen je foto album. Als je die op "Iedereen" hebt staan, dan kan je via de RSS feeds erbij. Als je dit ook op bv alleen vrienden hebt staan, dan kan iemand ze niet via de rss feeds zien. Helaas laat hyves sommige dingen standaard op iedereen staan, terwijl je je hele account blokt via de ene instelling.

Uitgebreid uitgelegd:
http://www.digitaalonderzoeker.nl/voorbeelden/hyves_rss.pdf .

libris

06-04-2010, 23:04 door PeterBD

Jep..ik zie het....
De fotos MOETEN zichtbaar zijn voor iedereen en het profiel MAG alleen toegankelijk zijn voor "vrienden"

06-04-2010, 23:09 door libris

dan begrijp jij waar de fout zit ;)

Het probleem is dat weinig mensen deze instellingen aanpassen... daardoor zijn veel profielen zonder problemen te benaderen

libris

07-04-2010, 02:10 door Anoniem

kom kom..
dit had ik al lang ontdekt.. zelfs foto's die in prive albums staan zijn direct te linken dus met een beetje inventief url scriptje kom je een boel zogenaamd beschermde content tegen en dit is zeker een fout van hyves aangezien die foto's niet via een script worden getoond maar plat op de server staan.

07-04-2010, 08:23 door N4ppy

Het bedrijf controleerde honderd profielen en ontdekte dat zestig gebruikers de instellingen van hun foto's niet goed hadden ingesteld.
"Dit is niet de fout van Hyves, maar de fout van de gebruikers", aldus de onderzoekers.

Mag ik hier van maken dat het de fout van hyves is. Als het op zo'n grote schaal mis gaat dan is het niet duidelijk in elkaar gezet. even afgaande op deze kleine steekproef 60% begrijpt het dus niet maar beter is hyves is niet expliciet genoeg in wat wel en niet.

Als je thuis de deur dicht doet dan is het duidelijk dat je ook zelf je ramen moet sluiten dat is ook zichtbaar.

Als je de auto op slot zet dan is het tegenwoordig vanzelfsprekend dat alles dicht is en dat je niet zelf nog de kofferbak moet afsluiten. Bij hyves blijft de kofferbak open.

07-04-2010, 08:38 door [Account Verwijderd]

[Verwijderd]

07-04-2010, 10:13 door libris

Natuurlijk ligt het ook aan hyves, maar ook aan de gebruikers want hyves geeft de gebruikers deze optie wel. Helaas (zoals in het rapport gezegd wordt) doet hyves dit standaard niet. Dat is het gene wat hyves fout doet...

Dus hier kan je over discussieren wat je wil, maar je kan het probleem bij beiden leggen.

De mensen die zeggen dat hyves het beste standaard de instellingen goed hadden kunnen zeggen, geef ik gelijk... want dat is nou eenmaal een feit :)

07-04-2010, 15:33 door Erwtensoep

De gebruiker doet het zelf niet, maar Hyves zou het wel duidelijker kunnen maken, of een nieuwe optie toevoegen waarbij privacy instellingen voor alle delen van je profiel gelden die standaard aan staat en geavanceerde gebruikers kunnen dat dan zelf desgewenst uit zetten.

07-04-2010, 15:34 door Anoniem

hyves.feeds.nl
Het domein hyves.feeds.nl is te koop
Dus? Na de proef verkocht?

07-04-2010, 15:44 door [Account Verwijderd]

[Verwijderd]

07-04-2010, 16:35 door Anoniem

Mijn RSS klopt. Ik had ook niet anders verwacht :) anders zou ik waarschijnlijk toch wel ietwat pissig zijn geweest.

07-04-2010, 17:30 door Anoniem

Door _Peterr: Goed te weten dat het lek is. Dan kan ik er actie op ondernemen.

Ik ben blij dat er iemand meedenkt/leest die voor Hyves werkt. Succes Peter met het dichten van het lek.

16-04-2010, 18:44 door Anoniem

Inmiddels werkt dit niet meer, hyves heeft volgens mij alle RSS feeds private gemaakt.

20-04-2010, 12:09 door Anoniem

netjes peter,

12-08-2010, 05:49 door Anoniem

voor de mensen die zeggen hyves-feeds.nl/rss/hyves/naam/foto nee het is hyves-feeds.nl/rss/hyveR/naam/foto maar ik krijg alsnog over te staan dat ik onvoldoende rechten heb :S

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer