Sociaal netwerk lekt 100 miljoen accounts

Schermafdruk ning.com

Een probleem met de aanmeldingsprocedure zorgde ervoor dat gebruikers de accounts van anderen konden overnemen. 

Webwereld schrijft in het artikel NING lekt accounts 100 miljoen gebruikers:

Het probleem met de beveiliging is de manier van aanmelden bij het systeem. Nadat iemand zich heeft aangemeld levert NING een standaard cookie af als bewijs dat iemand is aangemeld. De studenten Angelo Geels en Alex Brouwer wisten te achterhalen hoe deze methode precies werkt en konden daarna de identiteit van iedere gebruiker overnemen.

Met de geldige informatie wisten de studenten vervolgens het bewijs van inloggen zo aan te passen dat ze konden inloggen als een van de 100.000.000 profielen op een willekeurig netwerk. Wie zich bijvoorbeeld aanmeldde als gebruiker van het sociale netwerk van de This Is 50-fanclub kon daarna aan de slag gaan op het Nederlandse ambtenaren netwerk [Ambtenaar] 2.0.

Op basis van een eigen login bij een compleet ander NING-netwerk meldden ze zich vervolgens in minder dan 30 seconden op het sociale netwerk aan. Daarvoor is geen wachtwoord nodig.

[…] Na het uitvoeren van testen stelt het bedrijf nu het probleem te hebben verholpen. […]

NING is een grote speler op de markt van gerichte sociale netwerken. Tussen de 90.000 groepen zitten talloze groepen van overheden variërend van Amerikaans Federale Diensten tot de Taiwenese overheid, fanclubs, Amerikaanse patriotisten, allerhande actiegroepen en patiëntenverenigingen.