Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

De e-mailadressen van LinkedIn-gebruikers konden via een omweg worden achterhaald, ook als de gebruiker dat niet wilde delen. Een Nederlander ontdekte het privacyprobleem en achterhaalde e-mailadressen van beroemdheden.

De Nederlander Dennis Albinus ontdekte dat e-mailadressen van alle LinkedIn-gebruikers konden worden achterhaald, ook als deze ervoor hadden gekozen hun e-mailadres niet te delen. Het privacyprobleem was het gevolg van een bug in de iPhone-app, die eveneens door Albinus werd ontdekt. "Ik kwam er achter dat ik via de iPhone-app Ashton Kutcher op LinkedIn kon uitnodigen, terwijl hij had ingesteld dat dat alleen kan als je zijn e-mailadres weet", zegt de Nederlander.

Toen Albinus op zijn computer controleerde of de uitnodiging aan Kutcher daadwerkelijk was verzonden, kwam hij er achter dat dat niet alleen zo was, maar dat hij ook via 'reply to all' een e-mail naar Kutcher kon sturen. "En van dat mailtje ging automatisch een cc naar mij", stelt Albinus, waarmee hij het e-mailadres van de acteur had achterhaald. Albinus claimt op dezelfde wijze de e-mailadressen van verschillende beroemdheden te hebben achterhaald, waaronder die van de Amerikaanse president en van directeuren van grote bedrijven.

De ontdekker van het probleem heeft zijn bevindingen met LinkedIn gedeeld; inmiddels is het nog steeds mogelijk om mensen via de iPhone-app uitnodigingen te sturen als die dat niet willen, maar het achterhalen van het e-mailadres kan niet meer. LinkedIn was niet bereikbaar voor commentaar.

LinkedIn bug

Moderatie-faq Wijzig weergave

Reacties (40)

Wat mij verbaast is dat er nog niemand gereageerd heeft op het feit dat dit lek wordt toegeschreven aan een bug in de iPhone app. De databeveiliging hoort m.i. niet in de front-end applicaties te zitten, maar aan de achterkant. Anders is het wachten op de volgende app die zogenaamd een lek bevat, maar eigenlijk alleen maar laat zien dat de informatie vrij toegankelijk is.
De bug wordt toegeschreven aan de iPhone app, maar lijkt me meer dat de bug zit in de API die gebruikt wordt door de iPhone app. Blijft natuurlijk een lek, maar wel server-side.
Wat mij verbaast is dat er nog niemand gereageerd heeft op het feit dat dit lek wordt toegeschreven aan een bug in de iPhone app. De databeveiliging hoort m.i. niet in de front-end applicaties te zitten, maar aan de achterkant. Anders is het wachten op de volgende app die zogenaamd een lek bevat, maar eigenlijk alleen maar laat zien dat de informatie vrij toegankelijk is.
Ik denk dat iedereen een beetje Apple-moe is dat ze niet meer hierop willen inspringen. :/
Wat mij verbaast is dat iemand Aston Kutcher wil uitnodigen 8)7
Kijk, en zo kan het dus ook! Met goed fatsoen een probleem melden en niet complete lijsten openbaar maken. Bravo voor deze Hollander!
Ja zo kan het ook en het gevolg is dat de helft van het probleem maar opgelost is. Plus het is niet eerlijk omdat dit punt media aandacht krijgt.

Het is goed om het eerst te melden, maar na een maand ben je toch wel verplicht om andere wegen te zoeken (media bijvoorbeeld). Als jij het kan verzinnen kan een hacker het ook.

Als ook de media vervolgens geen gehoor geeft, kun je beter 100 adressen op pastebin geooien, als de duizenden die er eventueel in de database zitten. De media vind dit geweldig en haakt gelijk in en dan kan de eigenaar/developer van de software niet meer arrogant doen en de boel sussen bij zijn werkgever.

It's not pretty, but it is the way the world works.
Ik denk dat je dan nog beter de namen en domeinen van de mailadressen wat kan gaan shuffelen. Je kunt ook heel goed duidelijk maken dat je een site hebt gehacked zonder per se onschuldige gebruikers hier de dupe van te laten worden.
het probleem blijft dat sommige bedrijven, alleen dit soort dingen gaan aanpassen als ze negatief in het nieuws komen.
En geshuffelde domeinen en mailadressen die zijn niet nieuwswaardig genoeg (misschien de eerste keer maar de tweede keer is het niet interessant meer)
Dat kan, ooit een nieuwsitem gezien:
"Hacker zet een lijst met onzin van website x op pastebin"

Er moet iets relevants in staan om het door de media op te laten pakken. Tenminste, dat is normaal zo, nu is het toevallig een hot item vanwege diginotar en webwereld's lektober, maar over een maandje of 2 is iedereen dat weer vergeten.

Misschien clichť maar ik spreek uit ervaring. Mijn aanpak was ook eerst de beheerders van hyves op de hoogte stellen. Na een jaar(!!!) de media ingelicht (tweakers en webwereld), die vonden het niet interessant genoeg pas 2 jaar(!!!) later is het lek gefixt.

Later ook weleens een website gedefaced en daarna pas de beheerders op de hoogte gesteld. Toen werden mijn tips ineens wel met open armen ontvangen en geÔmplementeerd.

Met sql injection kan je vaak niet defacen, het enige wat je kan doen met impact is een lijst posten. Tuurlijk kan je dat anonimiseren, maar beheerders/managers/directeuren hebben vaak de neiging om de boel dan onterecht te sussen. En je kans op media aandacht en een oplossing is dan voorbij.

Wat je ook vergeet is dat de onschuldige mensen al lang de dupe zijn, de informatie is al publiek beschikbaar, maar enkel voor de mensen die het willen misbruiken. Publicatie van een deel van deze gegevens maakt het niet veel erger, het systeem was immers al "open".
De meeste ontdekkers van een lek beginnen om 'met goed fatsoen een probleem te melden'. Alleen pakt de betrokken partij die melding lang niet altijd met hetzelfde fatsoen op. Na een bepaalde wachttijd of een afwijzing of zelfs het volledig uitblijven van reacties, is de verleiding groot om de publiciteit te zoeken.
Kan er dan serieus niets meer fatsoenlijk worden getest voordat het beschikbaar wordt gemaakt, nu moet ik al mijn fans vriendelijk vragen mij met rust te laten!! ;) :Y)
Ik vind het toch wel opmerkelijk, bewijst de kwetsbaarheid van sommige social media.
Wel grappig dat hij het e-mail adres van Obama heeft, maarja zou dit het echte adres zijn?
Natuurlijk niet, dit zal 1 van zijn 800 PR-email adressen zijn die hij waarschijnlijk nog niet eens zelf leest.
Zal waarschijnlijk niet eens een ingewikkeld adres zijn, alleen voordat mail bij hem aankomt zal het wel langs 10 anderen gaan om te filteren ;)
Waarschijnlijk gewoon zijn officiŽle .gov adres wat je sowieso wel kunt achterhalen. Alsof Obama persoonlijk zijn netwerk onderhoud via LinkedIn, het lijkt me dat een Amerikaanse president wel de laatste is die dat nodig heeft.
Gaat het tegenwoordig alleen maar over bug die overal worden gevonden.
Wordt er een beetje moe van.
Waar is het echte tech nieuws.

Die bugs kunnen ook wel worden opgelost op gebruikersfora van de getroffen websites hebben we geen tweakers bij nodig.

Bugs is ook geen reden waarom ik ook op tweakers zit.
Heb alleen het gevoel dat dit ten koste gaat van het nieuws over hard en software wat vernieuwend is.

Bugs and hacks het zal wel zit in alle software.

[Reactie gewijzigd door Feraturion op 24 oktober 2011 20:58]

Het gaat niet om de bug of hack, het gaat om het feit dat er privacy gevoelige gegevens gelekt zijn.

Dat het jou niet boeit en dat je het afdoet met een dooddoener als 'er zitten overal bugs in' is irrelevant en ik weet vrij zeker dat er meer mensen zijn die zich aan dit soort comments harder storen dan dat jij je stoort aan dit soort berichtgevingen.

Lees het gewoon niet zou ik zeggen :)
Denk je dat er maar plaats is voor 5 berichten per dag ofzo? Het 'echte' nieuws komt ook gewoon op de site. En als er geen nieuws is, dan houdt het op.
Netjes dat het dan gewoon gemeld wordt, tegenwoordig gaat het ook vaak anders...
ik weet niet of blur nou echt een goeie manier is om de privacy van deze mensen te waarborgen, vooral gezien de de-blur technology van adobe die eraan komt.

http://www.geeky-gadgets....eleased-video-18-10-2011/
misschien eerst andere reacties lezen voor je iets post dat al lang gezegd is
Gokje: b.obama@whitehouse.gov? Dat van Steve Jobs was ook sjobs@apple.com. Lijkt me niet heel moeilijk ;)
Grappig denk dat je nog gelijk hebt ook. De laatste twee lijken me in elk geval @gmail.com accounts :). Handig zo'n blur die net niet vaag genoeg is.
Beetje gevaarlijk ook om dit ook weer te posten,
vanwege de Photoshop deblur tool die er aan komt.
http://www.youtube.com/watch?v=xU-a7k4Ocqc
haha ja denk niet echt dat dat gaat werken als er alleen een grote smudge over is.
Klopt, maar in dit geval is er met een unsharp mask (beetje tweaken met radius/threshold etc.) best nog veel te zien. Net niet genoeg, maar iemand die genoeg tijd heeft kan bovenstaande mailadressen wel ontcijferen verwacht ik, zeker het 2e adres wat minder geblurred lijkt.
kan iemand het emailadres van barack obama even posten? ik moet hem iets vragen
Zijn mails worden door anderen verwerkt. Misschien kan je beter even langsgaan? :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True