Nederlanders ontdekken groot lek in Ning

De website Ning, waarop gebruikers eigen sociale netwerken kunnen aanmaken, bevatte een ernstig beveiligingslek. Daardoor kon iedereen de identiteit van een andere gebruiker aannemen. Het lek is inmiddels door Ning gedicht.

NingTwee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden. Inmiddels is het beveiligingsprobleem opgelost. De studenten ontdekten hoe ze de login-cookies van Ning konden manipuleren, zodat de identiteit van elke willekeurige gebruiker kon worden aangenomen.

Om het beveiligingsprobleem te misbruiken, moest met een account succesvol worden ingelogd. Vervolgens kon het cookie dat bij het inloggen werd geplaatst worden aangepast om als een andere gebruiker in te loggen, waarbij volledige controle over die account werd verkregen. Hoe de cookie precies moest worden gemanipuleerd, wordt niet door Webwereld onthuld. De studenten schreven speciale software om het lek aan te tonen.

Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.

Door Joost Schellevis

Redacteur

Feedback • 20-04-2012 15:39 28

20-04-2012 • 15:39

28

Lees meer

Hackers maken broncode VMware ESX buit
Hackers maken broncode VMware ESX buit Nieuws van 26 april 2012
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders Nieuws van 2 april 2012
Betalingsverwerker getroffen door datalek
Betalingsverwerker getroffen door datalek Nieuws van 30 maart 2012
Teeven: groot deel gemelde datalekken kan niet onderzocht worden
Teeven: groot deel gemelde datalekken kan niet onderzocht worden Nieuws van 28 maart 2012
Website Dirk, Bas en Digros laat e-mailadressen uitlekken
Website Dirk, Bas en Digros laat e-mailadressen uitlekken Nieuws van 6 maart 2012
CBP: aantal gemelde datalekken te hoog om te onderzoeken
CBP: aantal gemelde datalekken te hoog om te onderzoeken Nieuws van 5 maart 2012
FBI: stilzwijgen over datalekken helpt niet
FBI: stilzwijgen over datalekken helpt niet Nieuws van 2 maart 2012
Meer producten en artikelen
Politiek en recht Beveiliging Social networking

Reacties (28)

-Moderatie-faq
28
27
21
3
0
3
Wijzig sortering

Sorteer op:

Weergave:
Biermeester 20 april 2012 15:43
Was toch wel netter geweest om NING in te lichten, in plaats va Webwereld.
Axewi @Biermeester20 april 2012 15:45
Als ik zie hoe netjes ze dit gedaan hebben ga ik er van uit dat ze eerst Ning hebben ingelicht.
Waarschijnlijk heeft Ning er niet op gereageerd en hebben ze het via Webwereld geprobeerd.

Blij om te zien dat niet iedere hacker meteen alle gegevens in een dump op het internet zet.
looyenss @Biermeester20 april 2012 15:45
Zou jij het gelijk geloven als een random iemand beweert dat hij bij je kan hacken?
Mijn ervaring leert dat er veel mensen beweren dat ze in het systeem zitten..
als je het via webwereld of wat voor site dan ook doet wordt er eerder wat mee gedaan
Biermeester @looyenss20 april 2012 15:48
Webwereld gaat ook niet ergens achteraan als ze slechts te horen krijgen 'we kunnen zo en zo hacken'. Dan verwachten ze toch echt wat meer informatie over de manier waarop, lijkt mij.
LOTG @looyenss20 april 2012 15:53
Ik zou het direct geloven als hij beschrijft hoe.
In het bericht staat dat een cookie aanpassen voldoende was.
Dat is simpel en snel te reproduceren en dan valt er niet veel anders te doen dan het serieus te nemen.


Als iemand een bericht stuurd met ik kan beveiliging omzeilen en voor de rest niets dan kan ik er ook niets mee.
totaalgeenhard @looyenss20 april 2012 17:45
Wel als je een zip file bij doet met 100 miljoen gebruikers.

Alsof Webwereld enige autoriteit heeft buiten Nederland, om maar te zwijgen dat ze (sinds oude garde carriere heeft gemaakt) amper meer scoops of nieuwswaardig feiten brengen.

[Reactie gewijzigd door totaalgeenhard op 24 juli 2024 08:30]

Verwijderd @totaalgeenhard20 april 2012 23:49
Let op: Dit is géén hack waarbij de database kan worden geplundert, maar je kan 'inloggen' als iedere gebruiker.
mae-t.net @Verwijderd21 april 2012 18:04
Waarbij er misschien ook wel gebruikers zijn met méér rechten.
BarôZZa @Biermeester20 april 2012 16:40
Nee dat is het niet.

Het gaat niet om bedrijven, maar om gebruikers.

Zodra er een ernstig lek is, is het van groot belang dat de gebruiker zo snel mogelijk geïnformeerd wordt van het gevaar dat hij/zij loopt. Het is namelijk onmogelijk om te weten of anderen er al actief misbruik van maken.

In de openbaarheid fungeren is juist erg verstandig. Ook handig om de wind uit de zijlen te nemen, aangezien bedrijven dan minder agressief handelen.
NLKornolio 20 april 2012 15:49
www.wall.fm / www.oxwall.org zijn opensource en naar mijn mening uitgebreider en beter tevens is het gebruik gratis in de meeste mogelijkheden.

Grote kans dat de studenten gebruik maken van het platform ze zouden zichzelf dus in hun voet schieten het te publiceren.

Zou toch graag weten wat de aanpassing in de cookies is zodat ik kan controleren of andere platformen niet dezelfde fout maakt
TDeK
@NLKornolio20 april 2012 16:05
Het is heel simpel: never trust the client. Als je puur met een cookie ergens kunt inloggen, dan is het systeem gewoon gebrekkig. Ook server side moet gevalideerd worden dat het de juiste gebruiker betreft. Gebruik van UUID's ipv voorspelbare waardes kan al veel helpen.
onox @TDeK20 april 2012 17:44
Een attacker kan in bepaalde gevallen (script invoer van een attacker niet goed filteren) met bijvoorbeeld JavaScript de session ID van een andere gebruiker opvragen en daarna z'n eigen session ID aanpassen naar dat van het slachtoffer. F5 en je zit in een ander account. Random UUID's helpen dan niet ;)

Weet niet of Ning naar HTTPS over gaat na het inloggen, maar hopelijk doen ze ook een nieuwe session ID genereren na het inloggen dan.

[Reactie gewijzigd door onox op 24 juli 2024 08:30]

DiedB 20 april 2012 15:43
Zo kan het dus ook. Hacken, netjes melden en nadat het is opgelost bekend maken.
Bosmonster @DiedB20 april 2012 15:58
Alleen moeten ze het dan niet bij Webwereld melden, maar bij Ning ;)
yendis @Bosmonster20 april 2012 16:08
Het zou mooi zijn als dat zomaar zou kunnen. In de praktijk blijkt alleen dat sommige bedrijven/websites de hackers aanklagen. Door een "tussenpersoon" te gebruiken blijven de hackers buiten schot maar hebben ze toch hun doel bereikt.
DeTeraarist @yendis20 april 2012 19:19
En de rechter hoort natuurlijk niemand en geeft meteen celstraffen ;)
indigo79 @DeTeraarist20 april 2012 21:01
Ik word toch liever niet aangeklaagd, dan na een onzeker rechtzaak en een pak tijd en advocatenkosten en eventueel een beroep misschien gelijk te krijgen...
sypie @DiedB20 april 2012 15:58
Jammer dat het dan niet bij Ning wordt gemeld maar dat het meteen naar Webwereld wordt gedaan, die er vervolgens weer groot nieuws van maakt.
Perkouw Moderator GCC 20 april 2012 16:42
Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Zelf heb ik nog nooit van Ning gehoord, niet dat ik zo into social media ben maar ik betwijfel of het zo'n groot aantal gebruikers heeft. Verder wel een zeer kwalijke zaak dat erop deze manier toegang verkregen kon worden tot alle gegevens van een gebruiker. Persoonlijk doe ik dan ook niet aan social media, mede om gevaar van dit soort dingen.
Bender @Perkouw20 april 2012 17:14
Vergeet niet dat de wereld groter is dan alleen Nederland.
In China hebben ze ook nog nooit van Hyves gehoord, maar hebben ze wel eigen netwerken.
Of Google is daar ook niet de grootste, is ook weer een eigen lokale engine.
Verwijderd 20 april 2012 16:52
krijgen ze een vindersloon? het passend melden, speciale software schrijven. waarschijnlijk ook zeggen hoe ze het lek konden dichten. mag wel iets tegenover staan, dunkt me.
Hatsjoe @Verwijderd20 april 2012 21:02
Ik vind van niet. Ze hebben dat uit eigen initatief gedaan.

Het is toch ook niet zo als ik bij de buren aanbel om ze te melden dat de sleutels nog in de auto deur zitten? Het is gewoon beschaafd als je anderen waarschuwt voor eventuele beveiligings lekken.
demonic 20 april 2012 15:42
negatieve reclame is en blijft reclame!

dit is een goed voorbeeld ervan. nog nooit van ning gehoord...

toch binnen kort is kijken wat het precies is.. lijkt me opzich een leuk ding/idee/concept..
Casper de Boer 20 april 2012 15:44
Keurig hoe dit dan opgelost is zonder dat er (voor zo ver bekend is) misbruik van is gemaakt.

Hoop persoonlijk wel dat de studenten een bedankje krijgen.
Hatsjoe 20 april 2012 15:50
Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Ik heb er echter nooit van gehoord, maar dat kan aan mij liggen :P
Twee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden.
Zoals het hier verwoord wordt, lijkt het alsof ze het bedrijf zelf niet eerst ingelicht hebben? Als dat zo is, is het echt niet netjes. Ze hadden op zijn minst een mailtje kunnen schrijven dat cookie hijacking mogelijk was.
Verwijderd 21 april 2012 00:16
Het lekt toch overal in het land, of niet soms ?
sjun 21 april 2012 07:42
Het valt echt mee met de aantallen daadwerkelijke gebruikers van Ning sinds betaling geëist wordt. Men zal de intussen op hold gezette sites van niet betalende creatievelingen en hun gebruikers wel meetallen met de gepresenteerde aantallen. Niettemin was het een aardig initiatief om Youtube naar de kroon te steken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq