Hyves publiceert eigen wachtwoord
Gepubliceerd: Vrijdag 8 augustus 2008
Auteur: Loek Essers
Het sociale netwerk Hyves geeft in een MySQL foutmelding een gebruikersnaam, wachtwoord en ip-adres vrij. De privacy van gebruikers komt niet in gevaar.
Een woordvoerster van Hyves geeft toe dat de informatie wordt genoemd in de foutmelding. Het zou echter gaan om een wachtwoord dat niet gekoppeld is aan een gebruikersaccount. Het gaat om een intern wachtwoord.
Het is voor kwaadwillige 'absoluut niet mogelijk' om in te loggen op profielen van iemand anders met het weergegeven wachtwoord, aldus de woordvoerster. "De username die in beeld komt te staan is de username van de hyver zelf die de melding krijgt."
Hyves laat weten hard te werken aan een oplossing van het probleem. Ook het ip-adres zou een intern adres zijn. "Het ip-adres is van ons en er staat verder geen informatie in de foutmelding die schadelijk zou zijn voor de gebruiker", benadrukt de woordvoerster.
Een programmeur met veel MySQL-ervaring waarschuwt dat dit soort fouten wel degelijk gevaarlijk zijn. Kwaadwilligen zouden bij de data kunnen komen als ze zich, bijvoorbeeld via een hack, toegang verschaffen tot het netwerk, stelt de programmeur tegenover Webwereld. Het zou nog steeds vrij lastig en omslachtig zijn om in het netwerk te komen. Daarbij zijn er eenvoudiger manier om persoonlijke informatie te achterhalen, bijrvoobeeld via cross site scripting aanvallen.
