Nederlanders ontdekken groot lek in Ning
De website Ning, waarop gebruikers eigen sociale netwerken kunnen aanmaken, bevatte een ernstig beveiligingslek. Daardoor kon iedereen de identiteit van een andere gebruiker aannemen. Het lek is inmiddels door Ning gedicht.
Twee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden. Inmiddels is het beveiligingsprobleem opgelost. De studenten ontdekten hoe ze de login-cookies van Ning konden manipuleren, zodat de identiteit van elke willekeurige gebruiker kon worden aangenomen.
Om het beveiligingsprobleem te misbruiken, moest met een account succesvol worden ingelogd. Vervolgens kon het cookie dat bij het inloggen werd geplaatst worden aangepast om als een andere gebruiker in te loggen, waarbij volledige controle over die account werd verkregen. Hoe de cookie precies moest worden gemanipuleerd, wordt niet door Webwereld onthuld. De studenten schreven speciale software om het lek aan te tonen.
Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Reacties (28)
dit is een goed voorbeeld ervan. nog nooit van ning gehoord...
toch binnen kort is kijken wat het precies is.. lijkt me opzich een leuk ding/idee/concept..
Mijn ervaring leert dat er veel mensen beweren dat ze in het systeem zitten..
als je het via webwereld of wat voor site dan ook doet wordt er eerder wat mee gedaan
In het bericht staat dat een cookie aanpassen voldoende was.
Dat is simpel en snel te reproduceren en dan valt er niet veel anders te doen dan het serieus te nemen.
Als iemand een bericht stuurd met ik kan beveiliging omzeilen en voor de rest niets dan kan ik er ook niets mee.
Alsof Webwereld enige autoriteit heeft buiten Nederland, om maar te zwijgen dat ze (sinds oude garde carriere heeft gemaakt) amper meer scoops of nieuwswaardig feiten brengen.
[Reactie gewijzigd door totaalgeenhard op vrijdag 20 april 2012 17:46]
Waarschijnlijk heeft Ning er niet op gereageerd en hebben ze het via Webwereld geprobeerd.
Blij om te zien dat niet iedere hacker meteen alle gegevens in een dump op het internet zet.
Het gaat niet om bedrijven, maar om gebruikers.
Zodra er een ernstig lek is, is het van groot belang dat de gebruiker zo snel mogelijk geïnformeerd wordt van het gevaar dat hij/zij loopt. Het is namelijk onmogelijk om te weten of anderen er al actief misbruik van maken.
In de openbaarheid fungeren is juist erg verstandig. Ook handig om de wind uit de zijlen te nemen, aangezien bedrijven dan minder agressief handelen.
Hoop persoonlijk wel dat de studenten een bedankje krijgen.
Grote kans dat de studenten gebruik maken van het platform ze zouden zichzelf dus in hun voet schieten het te publiceren.
Zou toch graag weten wat de aanpassing in de cookies is zodat ik kan controleren of andere platformen niet dezelfde fout maakt
Weet niet of Ning naar HTTPS over gaat na het inloggen, maar hopelijk doen ze ook een nieuwe session ID genereren na het inloggen dan.
[Reactie gewijzigd door onox op vrijdag 20 april 2012 17:49]
Ik heb er echter nooit van gehoord, maar dat kan aan mij liggenNaar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Zoals het hier verwoord wordt, lijkt het alsof ze het bedrijf zelf niet eerst ingelicht hebben? Als dat zo is, is het echt niet netjes. Ze hadden op zijn minst een mailtje kunnen schrijven dat cookie hijacking mogelijk was.Twee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden.
Zelf heb ik nog nooit van Ning gehoord, niet dat ik zo into social media ben maar ik betwijfel of het zo'n groot aantal gebruikers heeft. Verder wel een zeer kwalijke zaak dat erop deze manier toegang verkregen kon worden tot alle gegevens van een gebruiker. Persoonlijk doe ik dan ook niet aan social media, mede om gevaar van dit soort dingen.Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
In China hebben ze ook nog nooit van Hyves gehoord, maar hebben ze wel eigen netwerken.
Of Google is daar ook niet de grootste, is ook weer een eigen lokale engine.
Het is toch ook niet zo als ik bij de buren aanbel om ze te melden dat de sleutels nog in de auto deur zitten? Het is gewoon beschaafd als je anderen waarschuwt voor eventuele beveiligings lekken.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
