NING lekt accounts 100 miljoen gebruikers

door

ning gaten

door

Nieuws - Door een simpele manipulatie was het mogelijk het account van ieder van de 100 miljoen gebruikers van het sociale netwerkplatform NING over te nemen. Het lek is na melding door Webwereld gedicht.

Er zat een ernstig lek in NING, het platform waarop 90.000 sociale netwerken draaien, met in totaal 100 miljoen gebruikers.

Het probleem met de beveiliging is de manier van aanmelden bij het systeem. Nadat iemand zich heeft aangemeld levert NING een standaard cookie af als bewijs dat iemand is aangemeld. De studenten Angelo Geels en Alex Brouwer wisten te achterhalen hoe deze methode precies werkt en konden daarna de identiteit van iedere gebruiker overnemen.

Als iedereen inloggen

Met de geldige informatie wisten de studenten vervolgens het bewijs van inloggen zo aan te passen dat ze konden inloggen als een van de 100.000.000 profielen op een willekeurig netwerk. Wie zich bijvoorbeeld aanmeldde als gebruiker van het sociale netwerk van de This Is 50-fanclub kon daarna aan de slag gaan op het Nederlandse ambtenaren netwerk Ambternaar 2.0.

Als voorbeeld tonen ze in een video (zie onderaan) het Politie 2.0-account van uw verslaggever. Op basis van een eigen login bij een compleet ander NING-netwerk meldden ze zich vervolgens in minder dan 30 seconden op het sociale netwerk aan. Daarvoor is geen wachtwoord nodig.

Applicatie

“De truc zat hem erin uit te vinden hoe de informatie in elkaar stak, maar daarna kun je een applicatie maken die het overnemen van een identiteit automatiseert", vertelt Geels tegenover Webwereld. Het programmaatje, dat alleen voor intern gebruik voor het onderzoek is gemaakt, is gebruikersvriendelijk genoeg om dit mensen snel te leren.

Volgens Brouwer zijn de mogelijkheden oneindig. Niet alleen is duidelijk wie zich bij groepen heeft aangesloten, maar dus ook hun identiteit aan te nemen. “In theorie kun je dan opeens een inzamelingsactie voor geld starten, de regels veranderen, gebruikers van een netwerk gooien, in naam van iemand anders communiceren, hun priveberichten of andere aanvallen uitvoeren", meent Brouwer.

Responsible disclosure

Het probleem is door de studenten in maart aangebracht bij Webwereld, waarna contact is gezocht met NING. Het bedrijf erkent de problemen en heeft gewerkt aan een oplossing. Omdat dit de structuur van het aanmelden betreft had de onderneming tijd nodig de aanpassingen door te voeren.

Na het uitvoeren van testen stelt het bedrijf nu het probleem te hebben verholpen. De studenten benadrukken vooral aan de oplossing van de problematiek te willen werken. Ze zullen de software niet openbaar maken en hebben ook geen accounts misbruikt.

Grote speler

NING is een grote speler op de markt van gerichte sociale netwerken. Tussen de 90.000 groepen zitten talloze groepen van overheden variërend van Amerikaans Federale Diensten tot de Taiwenese overheid, fanclubs, Amerikaanse patriotisten, allerhande actiegroepen en patiëntenverenigingen.

Het is niet de eerste keer dat studenten van het MaMedia College zwakheden in de software van NING ontdekt. In juli 2011 brachten Nederlandse hackers vijf gaten in de software aan het licht. In het verleden heeft Govcert op het Ambtenaar 2.0 al gewaarschuwd voor het gebruik van dit soort gehoste diensten.

Het bedrijf beheert naar eigen zeggen 100 miljoen profielen en iedere tien minuten wordt een nieuwe community gestart. Vanuit het netwerk worden ook de nodige verbindingen gemaakt met andere sociale netwerken, zoals Facebook of Twitter.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.