Onzichtbare Hyves-foto's zichtbaar door bug
Foto's van Hyves-gebruikers die van de buitenwereld waren afgeschermd, bleken door een fout toch zichtbaar. Dit ontdekte Chris Geers, hij ontdekte dat de postkaart-module van Hyves een groot beveiligingslek bevatte. Deze module is er voor het versturen van een postkaart naar een "vriend" op Hyves.
Door de URL te manipuleren konden gebruikers foto's van "niet-vrienden" selecteren en bekijken. De module controleerde niet de rechten van de foto waardoor het mogelijk was om de foto's te bekijken.
Het was ook mogelijk om een database met foto's aan te leggen door het process te automatiseren. Nadat Geers contact had opgenomen met Hyves heeft Hyves het selecteren van foto's in de postkaartenmodule tijdelijk uitgeschakeld.
Hyves woordvoerder Glaser erkent het probleem dat er een lek in de kaartenmodule is geweest. Glaser doet de kwetsbaarheid af als een "klein lek" dat maar korte tijd heeft bestaan. "Dit lek is ontstaan na een update", stelt de woordvoerder. "Het is na het melden direct opgelost en was geen groot gevaar voor gebruikers." De Hyves-woordvoerder stelt dat het lek vanzelf aan de orde was gekomen bij een routinecontrole. "Langer dan een dag heeft het niet kunnen bestaan", stelt hij.
Ondertussen is het probleem opgelost en is de bug niet meer te misbruiken.
Gerelateerde nieuwsberichten
24/02/2017 CloudFlare lekte gebruikersdata
15/02/2015 Beveiligingsonderzoeker vindt lek in Facebook
28/01/2015 Gevaarlijk lek ontdekt in glibc-module van Linux
Om te reageren heb je een account nodig en je moet ingelogd zijn.