Lek Hyves maakte diefstal gegevens mogelijk

Source: WWW.NU.NL

AMSTERDAM - Een lek op Hyves stelde kwaadwillenden mogelijk in staat om persoonlijke gegevens van leden van de populaire vriendensite te onderscheppen. Dat ontdekte een lezer van NU.nl. Hyves heeft de fout inmiddels hersteld.
 
De kwetsbaarheid kwam al op 3 januari aan het licht. De ontdekker zegt Hyves meermalen op de hoogte te hebben gesteld van de fout op de site, maar kreeg geen reactie.

Met enige kennis van javascript konden kwaadwillenden het XSS-lek misbruiken om de zogenoemde 'cookies' van ingelogde gebruikers te onderscheppen. Daarmee zou een gegevensdief zonder het wachtwoord van zijn slachtoffer te kennen, kunnen inloggen op diens account.

Gedicht

Volgens oprichter Raymond Spanjar van Hyves is het lek inmiddels gedicht. De vriendensite zou pas dit weekeinde op de fout zijn gewezen, vermoedelijk door een andere gebruiker dan de eerdere ontdekker. De eerste melding is kennelijk niet opgemerkt.

Spanjar noemt het lek "erg vervelend". Volgens hem doet Hyves er alles aan om dergelijke fouten te voorkomen. Zo wordt de site regelmatig onderworpen aan tests door deskundigen die lekken trachten op te sporen.

Het lek heeft volgens Spanjar slechts kort bestaan. Vermoedelijk was de fout sinds het einde van het jaar aanwezig. Of in de tussentijd misbruik van het lek is gemaakt, is niet na te gaan.