Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

×

Help jij Tweakers Website van het Jaar te worden?

Tweakers is genomineerd voor beste website 2014 in de categorieën Nieuws & Informatie, Community en Vergelijking. Stem nu en maak kans op mooie prijzen!

Door , , reacties: 28, views: 58.070 •

De website Ning, waarop gebruikers eigen sociale netwerken kunnen aanmaken, bevatte een ernstig beveiligingslek. Daardoor kon iedereen de identiteit van een andere gebruiker aannemen. Het lek is inmiddels door Ning gedicht.

NingTwee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden. Inmiddels is het beveiligingsprobleem opgelost. De studenten ontdekten hoe ze de login-cookies van Ning konden manipuleren, zodat de identiteit van elke willekeurige gebruiker kon worden aangenomen.

Om het beveiligingsprobleem te misbruiken, moest met een account succesvol worden ingelogd. Vervolgens kon het cookie dat bij het inloggen werd geplaatst worden aangepast om als een andere gebruiker in te loggen, waarbij volledige controle over die account werd verkregen. Hoe de cookie precies moest worden gemanipuleerd, wordt niet door Webwereld onthuld. De studenten schreven speciale software om het lek aan te tonen.

Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.

Reacties (28)

negatieve reclame is en blijft reclame!

dit is een goed voorbeeld ervan. nog nooit van ning gehoord...

toch binnen kort is kijken wat het precies is.. lijkt me opzich een leuk ding/idee/concept..
Zo kan het dus ook. Hacken, netjes melden en nadat het is opgelost bekend maken.
Alleen moeten ze het dan niet bij Webwereld melden, maar bij Ning ;)
Het zou mooi zijn als dat zomaar zou kunnen. In de praktijk blijkt alleen dat sommige bedrijven/websites de hackers aanklagen. Door een "tussenpersoon" te gebruiken blijven de hackers buiten schot maar hebben ze toch hun doel bereikt.
En de rechter hoort natuurlijk niemand en geeft meteen celstraffen ;)
Ik word toch liever niet aangeklaagd, dan na een onzeker rechtzaak en een pak tijd en advocatenkosten en eventueel een beroep misschien gelijk te krijgen...
Jammer dat het dan niet bij Ning wordt gemeld maar dat het meteen naar Webwereld wordt gedaan, die er vervolgens weer groot nieuws van maakt.
Was toch wel netter geweest om NING in te lichten, in plaats va Webwereld.
Zou jij het gelijk geloven als een random iemand beweert dat hij bij je kan hacken?
Mijn ervaring leert dat er veel mensen beweren dat ze in het systeem zitten..
als je het via webwereld of wat voor site dan ook doet wordt er eerder wat mee gedaan
Webwereld gaat ook niet ergens achteraan als ze slechts te horen krijgen 'we kunnen zo en zo hacken'. Dan verwachten ze toch echt wat meer informatie over de manier waarop, lijkt mij.
Ik zou het direct geloven als hij beschrijft hoe.
In het bericht staat dat een cookie aanpassen voldoende was.
Dat is simpel en snel te reproduceren en dan valt er niet veel anders te doen dan het serieus te nemen.


Als iemand een bericht stuurd met ik kan beveiliging omzeilen en voor de rest niets dan kan ik er ook niets mee.
Wel als je een zip file bij doet met 100 miljoen gebruikers.

Alsof Webwereld enige autoriteit heeft buiten Nederland, om maar te zwijgen dat ze (sinds oude garde carriere heeft gemaakt) amper meer scoops of nieuwswaardig feiten brengen.

[Reactie gewijzigd door totaalgeenhard op 20 april 2012 17:46]

Let op: Dit is géén hack waarbij de database kan worden geplundert, maar je kan 'inloggen' als iedere gebruiker.
Waarbij er misschien ook wel gebruikers zijn met méér rechten.
Als ik zie hoe netjes ze dit gedaan hebben ga ik er van uit dat ze eerst Ning hebben ingelicht.
Waarschijnlijk heeft Ning er niet op gereageerd en hebben ze het via Webwereld geprobeerd.

Blij om te zien dat niet iedere hacker meteen alle gegevens in een dump op het internet zet.
Nee dat is het niet.

Het gaat niet om bedrijven, maar om gebruikers.

Zodra er een ernstig lek is, is het van groot belang dat de gebruiker zo snel mogelijk geïnformeerd wordt van het gevaar dat hij/zij loopt. Het is namelijk onmogelijk om te weten of anderen er al actief misbruik van maken.

In de openbaarheid fungeren is juist erg verstandig. Ook handig om de wind uit de zijlen te nemen, aangezien bedrijven dan minder agressief handelen.
Keurig hoe dit dan opgelost is zonder dat er (voor zo ver bekend is) misbruik van is gemaakt.

Hoop persoonlijk wel dat de studenten een bedankje krijgen.
www.wall.fm / www.oxwall.org zijn opensource en naar mijn mening uitgebreider en beter tevens is het gebruik gratis in de meeste mogelijkheden.

Grote kans dat de studenten gebruik maken van het platform ze zouden zichzelf dus in hun voet schieten het te publiceren.

Zou toch graag weten wat de aanpassing in de cookies is zodat ik kan controleren of andere platformen niet dezelfde fout maakt
Het is heel simpel: never trust the client. Als je puur met een cookie ergens kunt inloggen, dan is het systeem gewoon gebrekkig. Ook server side moet gevalideerd worden dat het de juiste gebruiker betreft. Gebruik van UUID's ipv voorspelbare waardes kan al veel helpen.
Een attacker kan in bepaalde gevallen (script invoer van een attacker niet goed filteren) met bijvoorbeeld JavaScript de session ID van een andere gebruiker opvragen en daarna z'n eigen session ID aanpassen naar dat van het slachtoffer. F5 en je zit in een ander account. Random UUID's helpen dan niet ;)

Weet niet of Ning naar HTTPS over gaat na het inloggen, maar hopelijk doen ze ook een nieuwe session ID genereren na het inloggen dan.

[Reactie gewijzigd door onox op 20 april 2012 17:49]

Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Ik heb er echter nooit van gehoord, maar dat kan aan mij liggen :P
Twee Nederlandse studenten ontdekten het beveiligingsprobleem in maart, waarna ze Webwereld op de hoogte stelden.
Zoals het hier verwoord wordt, lijkt het alsof ze het bedrijf zelf niet eerst ingelicht hebben? Als dat zo is, is het echt niet netjes. Ze hadden op zijn minst een mailtje kunnen schrijven dat cookie hijacking mogelijk was.
Gebruikers kunnen op Ning een eigen sociaal netwerk opzetten. Naar eigen zeggen heeft het bedrijf 90.000 sociale netwerken en 100 miljoen geregistreerde gebruikers.
Zelf heb ik nog nooit van Ning gehoord, niet dat ik zo into social media ben maar ik betwijfel of het zo'n groot aantal gebruikers heeft. Verder wel een zeer kwalijke zaak dat erop deze manier toegang verkregen kon worden tot alle gegevens van een gebruiker. Persoonlijk doe ik dan ook niet aan social media, mede om gevaar van dit soort dingen.
Vergeet niet dat de wereld groter is dan alleen Nederland.
In China hebben ze ook nog nooit van Hyves gehoord, maar hebben ze wel eigen netwerken.
Of Google is daar ook niet de grootste, is ook weer een eigen lokale engine.
krijgen ze een vindersloon? het passend melden, speciale software schrijven. waarschijnlijk ook zeggen hoe ze het lek konden dichten. mag wel iets tegenover staan, dunkt me.
Ik vind van niet. Ze hebben dat uit eigen initatief gedaan.

Het is toch ook niet zo als ik bij de buren aanbel om ze te melden dat de sleutels nog in de auto deur zitten? Het is gewoon beschaafd als je anderen waarschuwt voor eventuele beveiligings lekken.
Het lekt toch overal in het land, of niet soms ?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneiPhone

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013