Drie studenten van de mbo-opleiding Mediacollege Amsterdam (MA) hebben samen vijf gaten ontdekt in Ning, een platform om zelf sociale netwerken op te zetten. Zij vonden de gaten binnen enkele dagen nadat het platform werd gelanceerd voor een sociaal netwerk op hun school.

"Toen we hoorden dat we een Ning-netwerk kregen vroegen we ons af hoe dat viel te hacken. We probeerden dat hacken uit verveling en voor de lol", motiveren de jongeren hun beweegredenen.

Uitgenodigd na deface

Het eerste probleem dat de jongens vonden was nog niet zo serieus maar wel vervelend. Mensen die een blog plaatsten kunnen namelijk de site defacen door in het html-gedeelte op de website het html-element 'div' met inhoud te plaatsen. Zo kan er bijvoorbeeld een overlay over de website komen, met in het geval van de website van het Mediacollege een Nyan cat.

Daarop werden de voor de beheerder van de website nog onbekende hackers via de community opgeroepen om taart te komen eten. De jongens deden dat, gaven toe dat ze de code hadden gehackt, maar besloten daarna wel verder te zoeken naar eventuele andere problemen bij Ning, zo vertellen de hackers in een uitgebreid interview met Webwereld.

Vijf kwetsbaarheden

Al snel kwamen ze erachter dat sites van Ning erg vatbaar zijn voor cross site scripting. Daarbij wordt een stukje code van een derde, malafide, website geplaatst en gedraaid op een bonafide site. Bezoekers van de website hebben zo dus zonder het te weten ook contact met een andere site. Dat kan bijvoorbeeld via een iframe of door het script in de html van de pagina te integreren.

De mbo-studenten van 17 en 18 vonden vier non-persistent of reflective cross site scripting kwetsbaarheden in de site. Die lopen via verschillende pagina's op de website. Bijvoorbeeld via een link naar de een bepaalde comment, met code dus, of een cancel link met daarin standaard een url naar de vorige pagina.

Geen controle

Deze links blijken eenvoudig te misbruiken door er een eigen script in te plaatsen. Zo is het mogelijk om iemands cookie en dus zijn of haar sessie te stelen en op te slaan op een externe server. Het is dan wel nodig om iemand naar die link te sturen of om deze link in een verborgen iframe te laten draaien.

Veel ernstiger nog was de 'persistent' cross site scripting kwetsbaarheid die de jonge hackers vonden. Ning controleert namelijk niet op verboden html in de invulvelden van profielen. Zo is het dus mogelijk om bijvoorbeeld in iemands volledige naam een malafide script op te zetten.

Gerichte aanval

Dat is dan ook precies wat het drietal deed. Resultaat: van iedere bezoeker die op de kwaadaardige profielpagina werd de sessiecookie gestolen. Datzelfde kan dan natuurlijk ook met een verborgen iframe die naar de pagina verwijst. Met die laatste techniek, gecombineerd met wat social engineering, wisten de jongelingen zelfs de sessie van een beheerder te ontvreemden.

In reactie op een post op de communitysite stuurden de studenten hem een, volgens de jongs zelf, erg lelijk plaatje. Deze afbeelding stond op een php-pagina, gecombineerd met een onzichtbare iframe die op de achtergrond de malafide profielpagina laadde. Zo was het een fluitje van een cent om de sessie van deze beheerder te stelen en konden de hackers zichzelf beheerder van het sociale netwerk maken.

Creditcardgegevens stelen

Dat opent deuren voor gerichte hackaanvallen. Eén van de gebruikers op een Ning community is namelijk de 'oprichter'. Via dit account wordt het abonnement op het sociale netwerk betaald. Wie de sessie van dit account weet te kapen heeft dus creditcardgegevens in handen maar kan ook de hele community verwijderen.

Het is opvallend dat de jongens gaten wisten te schieten in een netwerk dat op het platform van Ning draait. Dat platform staat er juist om bekend dat scripts en iframes, als die van een onbekende website komen, blokkeert. Dat gebeurt echter alleen in de blogteksten die gebruikers kunnen plaatsen. In een invulveld zoals bijvoorbeeld voor een volledige naam gebeurt dat niet.

Stilte bij Ning

Na beraad met de oprichter van het schoolnetwerk, namen de studenten contact op met Ning. Ook Webwereld heeft contact opgenomen met dat bedrijf. Daarop bleef Ning lange tijd stil. Pas na ernstig aandringen van zowel Webwereld als de hackers heeft Ning de gaten gedicht. Die hebben na de melding nog zo'n drieënhalve week opengestaan.

Het bedrijf wil in een reactie nog wel laten weten dat het beveiligingssystemen gebruikt die standaard zijn in de industrie. Ook zegt het bedrijf zoveel mogelijk te doen aan de beveiliging van haar gebruikers en alle meldingen serieus op te pakken. Ning meent dat de eerdere meldingen mogelijk in een spambox terechtkwamen en daardoor niet opgepakt werden.

Uit privacyoverwegingen noemt Webwereld de namen van de jonge hackers niet. De namen zijn bekend bij de redactie.