Auteur Secret-posts is in sommige gevallen te achterhalen

In sommige gevallen is het mogelijk de auteur van een posting op het 'anonieme' sociale netwerk Secret te achterhalen. Als iemand een telefoonnummer of e-mailadres heeft gekoppeld, is dat mogelijk, ontdekte een beveiligingsonderzoeker.

Secret Beveiligingsonderzoeker Ben Caudill deed het probleem tegenover Wired uit de doeken. Het gaat niet zozeer om een beveiligingsprobleem, maar meer om een probleem met de manier waarop de anonieme sociaalnetwerksite werkt. Het sociale netwerk laat gebruikers anonieme berichten van vrienden zien, maar om die berichten te kunnen laten zien, moet het netwerk wel eerst bepalen wie die vrienden zijn.

Dat kan op twee manieren gebeuren; als de gebruiker op de app inlogt via Facebook, worden zijn Facebook-vrienden als uitgangspunt genomen. Doet hij dat niet, dan wordt het adresboek uitgelezen en wordt de app gevuld met berichten uit dat het adresboek. Die methode is te misbruiken, zo ontdekte Caudill.

Een gebruiker moet minimaal zeven contactpersonen in zijn adresboek hebben staan die Secret gebruiken om daadwerkelijk berichten van vrienden te kunnen zien; waarschijnlijk is dat bedoeld om te voorkomen dat iemand een lege telefoon met maar één contactpersoon gebruikt om de berichten van die specifieke persoon te zien. Het is echter mogelijk om zes nepaccounts aan te maken en die aan het adresboek toe te voegen, evenals het account waarvan de gebruiker de berichten wil zien.

Uit een test van Tweakers blijkt echter dat dat niet werkt als een gebruiker via Facebook is ingelogd en niet zijn e-mailadres of telefoonnummer heeft toegevoegd. Het toevoegen van die contactgegevens is niet verplicht, al vraagt het aanmeldproces gebruikers wel om hun telefoonnummer. Gebruikers die zich zonder Facebook hebben aangemeld, zijn in alle gevallen kwetsbaar voor het privacyprobleem: zij melden zich aan met hun e-mailadres.

Secret is op de hoogte van het privacyprobleem, maar het is onduidelijk of het sociale netwerk actie gaat ondernemen. Momenteel heeft het al tools draaien om verdachte activiteit op te sporen, maar uit de test van Tweakers blijkt dat de truc van Caudill desondanks mogelijk is.

Lees meer

IT-banen

Reacties (17)

BtM909 22 augustus 2014 16:49

Ben Caudill en Wired gaven ook al aan dat via FB deze security-flaw niet uit te buiten waren.

Momenteel heeft het al tools draaien om verdachte activiteit op te sporen, maar uit de test van Tweakers blijkt dat de truc van Caudill desondanks mogelijk is.

Daarnaast mist tweakers nog het volgende in het artikel (wellicht ook de reden waarom de truc mogelijk is:

But at some point in the last few weeks, as the company expanded its infrastructure, the bot detection system somehow failed, allowing Caudill and Seely to rediscover the hack, Byttow says.

Wat jammer is is dat het volgende ook niet verder is benoemd in het artikel:

What’s surprising, though, is that this is routine for the company. Since Secret instituted a bug bounty in February, the company has closed 42 security holes identified by 38 white hat hackers. Given the sensitivity of what some people post to Secret, this iterative approach might seem disconcerting. But Byttow says the deluge of bugs proves the system works.

thegve @BtM909 • 22 augustus 2014 19:10

the bot detection system somehow failed,

Tweakers heeft vermoedelijk geen bot gebruikt om te testen. Dit heeft dus niets met 'bot detection' te maken.

BtM909 @thegve • 23 augustus 2014 09:33

Bot detection heeft ook niet alleen te maken met het gebruiken van een bot... Het gaat erom (zoals FB en andere diensten dat ook inzetten) dat je "rogue"* accounts probeert te pakken.

* Fake accounts, dubbele accounts, etc.

thegve @BtM909 • 25 augustus 2014 00:17

De accounts zijn dus helemaal niet fake, alleen een paar contacten zijn dat. Daarnaast als 'bot detection' niet bedoelt is om bots te detecteren, dan weet ik het ook niet meer...

Douweegbertje @thegve • 25 augustus 2014 00:39

Ja, lekker moeilijk doen. Definitie van het woordje 'bot' is gewoon wat groter dan je denkt. Een fictief account kun je als 'bot' zien. Er is niet een directe term c.q. groep waar je "persoon die handmatig een fictief account maakt" in kan zetten. Uiteindelijk moet je het maar zien van de kant van het systeem. Een systeem zal het verschil niet direct zien tussen een echt persoon / bot, maar wel deze 'malafide' actie(s).
Als een user "@#dsaflkj!@121" een spam bericht op mijn website neerzet, definieer ik hem als bot. Boeit mij het of het uiteindelijk daadwerkelijk iemand zelf was.

thegve @Douweegbertje • 27 augustus 2014 17:08

Het 'bot detection' is er juist wel op gericht om een computer te herkennen. Trucks als tekstvelden verbergen middels CSS die een computer dan wel gaat invullen maar een gebruiker niet, timings (binnen 1 seconde een formulier met 40 velden invullen).

Droefsnoet 22 augustus 2014 16:56

Dus je moet je contactenlijst leeggooien op één account na en 6 nepaccounts aanmaken. En dan per contact waarvan je vermoed dat deze op Secret iets post gaan uitproberen of je zijn geheimpjes kan lezen? Efficient.

jiriw @Droefsnoet • 22 augustus 2014 17:04

Voor de 'nieuwsgierigen' onder ons is dat ook niet nuttig. Maar als je gericht op zoek bent naar informatie over een persoon (en ik kan me veel situaties voorstellen waarin dat op dit moment gebeurt van NSA tot bepaalde redenen voor echtscheidingen) dan kan ik me voorstellen dat iemand deze mogelijkheid heel interessant vindt.

Enai 22 augustus 2014 16:51

"Anoniem sociaal netwerk"
> telefoonnummer koppelen
> Facebook-account koppelen

What.

Gomez12 @Enai • 22 augustus 2014 16:59

Maar die gegevens blijven natuurlijk altijd ge-encrypt bij de makers en zal nooit verspreid/gebruikt worden. Dus dat zit uiteraard wel goed...

Totdat Google / FB horen dat er 10 miljoen gebruikers opzitten en een bod gaan doen om hun profielen uit te breiden

Sorcerer8472 @Gomez12 • 22 augustus 2014 17:31

Facebook kan in theorie exact weten wat er op Secret gebeurt qua gebruikers aangezien je erop inlogt met Facebook en je vriendenlijst wordt gebruikt voor distributie van posts. Enige dat Facebook niet kan nagaan zijn contacten via adresboek (telefoonnummers), en wat de inhoud van posts is.

kipppertje 22 augustus 2014 16:46

Het voelt een beetje alsof ik onder een steen heb geleefd. Ik heb nog nooit van Secret gehoord (voor de vorige post hierover).

Het hele probleem zou toch gewoon opgelost zijn als er een mogelijkheid was om de functionaliteit uit te zetten en er een waarschuwing bij te zetten?

Of richt het zich meer op tienermeisjes die stiekem willen vertellen dat ze die hunk toch wel erg leuk vinden en boeit het dus niet dat het met een boel moeite mogelijk is?

[Reactie gewijzigd door kipppertje op 25 juli 2024 19:28]

Punkbuster @kipppertje • 22 augustus 2014 16:47

Het is ook niet nieuwswaardig, kort door de bocht: "facebook voor mensen die niks onder hun eigen naam durven te posten.. "

walkstyle @Punkbuster • 22 augustus 2014 19:34

Daar denkt Tweakers dus anders over

nieuws: Anonieme sociale-netwerksite Secret komt naar Nederland

theobril 22 augustus 2014 18:52

Technologisch interessant, maar is er een tweaker die dit programma daadwerkelijk gebruikt? Wat is de lol van anoniem dingen roepen nadat je een zekere leeftijd hebt gepasseerd?

Verwijderd @theobril • 23 augustus 2014 02:07

Laten we "zekere leeftijd" vervangen door "zekere emotionele stabiliteit". Dan, ja

ari3 @theobril • 24 augustus 2014 00:46

Het anoniem misstanden in de samenleving melden of kritiek op een regime kunnen uiten is behoorlijk lollig, vooral als het betekent dat je niet opgepakt wordt door de Stasi of door je (toekomstige) werkgever gepasseerd wordt voor een promotie vanwege je politieke standpunten.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (17)

Sorteer op:

Weergave: