LinkedIn toonde verborgen e-mailadressen gebruikers

De e-mailadressen van LinkedIn-gebruikers konden via een omweg worden achterhaald, ook als de gebruiker dat niet wilde delen. Een Nederlander ontdekte het privacyprobleem en achterhaalde e-mailadressen van beroemdheden.

De Nederlander Dennis Albinus ontdekte dat e-mailadressen van alle LinkedIn-gebruikers konden worden achterhaald, ook als deze ervoor hadden gekozen hun e-mailadres niet te delen. Het privacyprobleem was het gevolg van een bug in de iPhone-app, die eveneens door Albinus werd ontdekt. "Ik kwam er achter dat ik via de iPhone-app Ashton Kutcher op LinkedIn kon uitnodigen, terwijl hij had ingesteld dat dat alleen kan als je zijn e-mailadres weet", zegt de Nederlander.

Toen Albinus op zijn computer controleerde of de uitnodiging aan Kutcher daadwerkelijk was verzonden, kwam hij er achter dat dat niet alleen zo was, maar dat hij ook via 'reply to all' een e-mail naar Kutcher kon sturen. "En van dat mailtje ging automatisch een cc naar mij", stelt Albinus, waarmee hij het e-mailadres van de acteur had achterhaald. Albinus claimt op dezelfde wijze de e-mailadressen van verschillende beroemdheden te hebben achterhaald, waaronder die van de Amerikaanse president en van directeuren van grote bedrijven.

De ontdekker van het probleem heeft zijn bevindingen met LinkedIn gedeeld; inmiddels is het nog steeds mogelijk om mensen via de iPhone-app uitnodigingen te sturen als die dat niet willen, maar het achterhalen van het e-mailadres kan niet meer. LinkedIn was niet bereikbaar voor commentaar.

LinkedIn bug

Door Joost Schellevis

Redacteur

Feedback • 24-10-2011 20:48 40

24-10-2011 • 20:48

40

Lees meer

Aantal LinkedIn-gebruikers groeit naar 135 miljoen
Aantal LinkedIn-gebruikers groeit naar 135 miljoen Nieuws van 4 november 2011
Europese toeleverancier leger blijkt slachtoffer hackers
Europese toeleverancier leger blijkt slachtoffer hackers Nieuws van 28 oktober 2011
LinkedIn telt een miljoen gebruikers in België
LinkedIn telt een miljoen gebruikers in België Nieuws van 22 september 2011
Geraffineerde malware richt zich op LinkedIn-gebruikers
Geraffineerde malware richt zich op LinkedIn-gebruikers Nieuws van 28 augustus 2011
Waarde LinkedIn is verdubbeld na beursgang
Waarde LinkedIn is verdubbeld na beursgang Nieuws van 20 mei 2011
LinkedIn wil met snelle beursgang Facebook voorblijven
LinkedIn wil met snelle beursgang Facebook voorblijven Nieuws van 9 mei 2011
Nederlanders grootste gebruikers van Twitter en LinkedIn
Nederlanders grootste gebruikers van Twitter en LinkedIn Nieuws van 26 april 2011
Meer producten en artikelen
Websites en community's Privacy Internet Beveiliging

Reacties (40)

-Moderatie-faq
40
30
11
2
0
2
Wijzig sortering
gfgw 25 oktober 2011 07:30
Wat mij verbaast is dat er nog niemand gereageerd heeft op het feit dat dit lek wordt toegeschreven aan een bug in de iPhone app. De databeveiliging hoort m.i. niet in de front-end applicaties te zitten, maar aan de achterkant. Anders is het wachten op de volgende app die zogenaamd een lek bevat, maar eigenlijk alleen maar laat zien dat de informatie vrij toegankelijk is.
mocean @gfgw25 oktober 2011 08:42
De bug wordt toegeschreven aan de iPhone app, maar lijkt me meer dat de bug zit in de API die gebruikt wordt door de iPhone app. Blijft natuurlijk een lek, maar wel server-side.
Anoniem: 237909 @gfgw25 oktober 2011 09:49
Wat mij verbaast is dat er nog niemand gereageerd heeft op het feit dat dit lek wordt toegeschreven aan een bug in de iPhone app. De databeveiliging hoort m.i. niet in de front-end applicaties te zitten, maar aan de achterkant. Anders is het wachten op de volgende app die zogenaamd een lek bevat, maar eigenlijk alleen maar laat zien dat de informatie vrij toegankelijk is.
Ik denk dat iedereen een beetje Apple-moe is dat ze niet meer hierop willen inspringen. :/
dj1981 @gfgw25 oktober 2011 10:00
Wat mij verbaast is dat iemand Aston Kutcher wil uitnodigen 8)7
Maddog McHare 24 oktober 2011 20:55
Kijk, en zo kan het dus ook! Met goed fatsoen een probleem melden en niet complete lijsten openbaar maken. Bravo voor deze Hollander!
ReenL @Maddog McHare24 oktober 2011 21:34
Ja zo kan het ook en het gevolg is dat de helft van het probleem maar opgelost is. Plus het is niet eerlijk omdat dit punt media aandacht krijgt.

Het is goed om het eerst te melden, maar na een maand ben je toch wel verplicht om andere wegen te zoeken (media bijvoorbeeld). Als jij het kan verzinnen kan een hacker het ook.

Als ook de media vervolgens geen gehoor geeft, kun je beter 100 adressen op pastebin geooien, als de duizenden die er eventueel in de database zitten. De media vind dit geweldig en haakt gelijk in en dan kan de eigenaar/developer van de software niet meer arrogant doen en de boel sussen bij zijn werkgever.

It's not pretty, but it is the way the world works.
thegve @ReenL25 oktober 2011 00:03
Ik denk dat je dan nog beter de namen en domeinen van de mailadressen wat kan gaan shuffelen. Je kunt ook heel goed duidelijk maken dat je een site hebt gehacked zonder per se onschuldige gebruikers hier de dupe van te laten worden.
honderdjaar @thegve25 oktober 2011 00:50
het probleem blijft dat sommige bedrijven, alleen dit soort dingen gaan aanpassen als ze negatief in het nieuws komen.
En geshuffelde domeinen en mailadressen die zijn niet nieuwswaardig genoeg (misschien de eerste keer maar de tweede keer is het niet interessant meer)
ReenL @thegve25 oktober 2011 01:05
Dat kan, ooit een nieuwsitem gezien:
"Hacker zet een lijst met onzin van website x op pastebin"

Er moet iets relevants in staan om het door de media op te laten pakken. Tenminste, dat is normaal zo, nu is het toevallig een hot item vanwege diginotar en webwereld's lektober, maar over een maandje of 2 is iedereen dat weer vergeten.

Misschien cliché maar ik spreek uit ervaring. Mijn aanpak was ook eerst de beheerders van hyves op de hoogte stellen. Na een jaar(!!!) de media ingelicht (tweakers en webwereld), die vonden het niet interessant genoeg pas 2 jaar(!!!) later is het lek gefixt.

Later ook weleens een website gedefaced en daarna pas de beheerders op de hoogte gesteld. Toen werden mijn tips ineens wel met open armen ontvangen en geïmplementeerd.

Met sql injection kan je vaak niet defacen, het enige wat je kan doen met impact is een lijst posten. Tuurlijk kan je dat anonimiseren, maar beheerders/managers/directeuren hebben vaak de neiging om de boel dan onterecht te sussen. En je kans op media aandacht en een oplossing is dan voorbij.

Wat je ook vergeet is dat de onschuldige mensen al lang de dupe zijn, de informatie is al publiek beschikbaar, maar enkel voor de mensen die het willen misbruiken. Publicatie van een deel van deze gegevens maakt het niet veel erger, het systeem was immers al "open".
mae-t.net @Maddog McHare25 oktober 2011 11:52
De meeste ontdekkers van een lek beginnen om 'met goed fatsoen een probleem te melden'. Alleen pakt de betrokken partij die melding lang niet altijd met hetzelfde fatsoen op. Na een bepaalde wachttijd of een afwijzing of zelfs het volledig uitblijven van reacties, is de verleiding groot om de publiciteit te zoeken.
masterwill7 24 oktober 2011 20:56
Kan er dan serieus niets meer fatsoenlijk worden getest voordat het beschikbaar wordt gemaakt, nu moet ik al mijn fans vriendelijk vragen mij met rust te laten!! ;) :Y)
TheManiac 24 oktober 2011 21:03
Ik vind het toch wel opmerkelijk, bewijst de kwetsbaarheid van sommige social media.
Wel grappig dat hij het e-mail adres van Obama heeft, maarja zou dit het echte adres zijn?
Naranya @TheManiac24 oktober 2011 21:13
Natuurlijk niet, dit zal 1 van zijn 800 PR-email adressen zijn die hij waarschijnlijk nog niet eens zelf leest.
Jazzle @TheManiac24 oktober 2011 21:13
Zal waarschijnlijk niet eens een ingewikkeld adres zijn, alleen voordat mail bij hem aankomt zal het wel langs 10 anderen gaan om te filteren ;)
Malarky @TheManiac24 oktober 2011 21:15
Waarschijnlijk gewoon zijn officiële .gov adres wat je sowieso wel kunt achterhalen. Alsof Obama persoonlijk zijn netwerk onderhoud via LinkedIn, het lijkt me dat een Amerikaanse president wel de laatste is die dat nodig heeft.
Feraturion 24 oktober 2011 20:57
Gaat het tegenwoordig alleen maar over bug die overal worden gevonden.
Wordt er een beetje moe van.
Waar is het echte tech nieuws.

Die bugs kunnen ook wel worden opgelost op gebruikersfora van de getroffen websites hebben we geen tweakers bij nodig.

Bugs is ook geen reden waarom ik ook op tweakers zit.
Heb alleen het gevoel dat dit ten koste gaat van het nieuws over hard en software wat vernieuwend is.

Bugs and hacks het zal wel zit in alle software.

[Reactie gewijzigd door Feraturion op 22 juli 2024 14:41]

InflatableMouse @Feraturion24 oktober 2011 21:03
Het gaat niet om de bug of hack, het gaat om het feit dat er privacy gevoelige gegevens gelekt zijn.

Dat het jou niet boeit en dat je het afdoet met een dooddoener als 'er zitten overal bugs in' is irrelevant en ik weet vrij zeker dat er meer mensen zijn die zich aan dit soort comments harder storen dan dat jij je stoort aan dit soort berichtgevingen.

Lees het gewoon niet zou ik zeggen :)
Anoniem: 26222 @Feraturion24 oktober 2011 21:36
Denk je dat er maar plaats is voor 5 berichten per dag ofzo? Het 'echte' nieuws komt ook gewoon op de site. En als er geen nieuws is, dan houdt het op.
hiekikowan 24 oktober 2011 21:17
Netjes dat het dan gewoon gemeld wordt, tegenwoordig gaat het ook vaak anders...
wewa 24 oktober 2011 22:02
ik weet niet of blur nou echt een goeie manier is om de privacy van deze mensen te waarborgen, vooral gezien de de-blur technology van adobe die eraan komt.

http://www.geeky-gadgets....eleased-video-18-10-2011/
varkenspester @wewa25 oktober 2011 08:53
misschien eerst andere reacties lezen voor je iets post dat al lang gezegd is
HamSolo 25 oktober 2011 00:22
Gokje: b.obama@whitehouse.gov? Dat van Steve Jobs was ook sjobs@apple.com. Lijkt me niet heel moeilijk ;)
Anoniem: 16328 @HamSolo25 oktober 2011 02:16
Grappig denk dat je nog gelijk hebt ook. De laatste twee lijken me in elk geval @gmail.com accounts :). Handig zo'n blur die net niet vaag genoeg is.
mac5er 24 oktober 2011 22:06
Beetje gevaarlijk ook om dit ook weer te posten,
vanwege de Photoshop deblur tool die er aan komt.
http://www.youtube.com/watch?v=xU-a7k4Ocqc
Haas_nl @mac5er24 oktober 2011 22:14
haha ja denk niet echt dat dat gaat werken als er alleen een grote smudge over is.
Sorcerer8472 @Haas_nl24 oktober 2011 22:39
Klopt, maar in dit geval is er met een unsharp mask (beetje tweaken met radius/threshold etc.) best nog veel te zien. Net niet genoeg, maar iemand die genoeg tijd heeft kan bovenstaande mailadressen wel ontcijferen verwacht ik, zeker het 2e adres wat minder geblurred lijkt.
Anoniem: 167912 24 oktober 2011 21:29
kan iemand het emailadres van barack obama even posten? ik moet hem iets vragen
Franckey @Anoniem: 16791224 oktober 2011 21:58
Zijn mails worden door anderen verwerkt. Misschien kan je beter even langsgaan? :P

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq