Gratis: 6 (of 2?) onbeveiligde vrienden

Door EdwinG op zaterdag 21 februari 2009 13:56 - Reacties (8)
Categorie: -, Views: 4.466

Viral marketing blijkt al tijden erg effectief te zijn. Vooral via e-mail, indien de ontvanger nieuwsgierig wordt gemaakt.

Blijkbaar heb ik 6 'vrienden' die mij willen toevoegen op een, voor mij nog onbekende, social-network site. Geen van de zes, die volgens de e-mail en de registratiepagina overigens met z'n tweeen zijn, is echter op het idee gekomen om mij via andere wegen (zoals msn, directe e-mail, of gewoon telefonisch/direct contact) hiervan op de hoogte te brengen. En aangezien ik nog nooit van die site gehoord had, heeft niemand mij ooit verteld op deze site te zitten. Eenmaal op de site aangekomen, via de speciale link in het e-mail bericht, zie ik twee personen staan die mij 'toe willen voegen'. Klikken op de foto of naam om meer details te zien kan niet. Om hun profielen te bekijken schijnt registratie noodzakelijk te zijn.....

Of natuurlijk gewoon hun profielnaam achter de url van de hoofdpagina zetten, dat helpt ook. Tot zo ver de les 'security through obscurity'.

Overigens is het gebruik van de nickname in de url geen rare constructie. Dit maakt het overigens geen veilig constructie: "Username enumeration for dummies", zogezegd.

Even verder kijken naar de inlogpagina (overigens zonder het registratieformulier in te vullen). Daar wordt om een nickname en/of e-mail adres gevraagd, in combinatie met een wachtwoord. Voor het wachtwoord gelden overigens, volgens tips bij het registratieformulier, geen eisen.

Dan maar eens kijken naar de 'nickname of e-mail adres vergeten' functionaliteit. Deze pagina toon de volgende tekst:
Hieronder vind je accounts die via jouw pc of internet verbinding zijn aangemaakt.
Gelukkig, niemand heeft mijn pc misbruikt om zich te registreren. Maar stel nou dat deze pagina benaderd wordt vanaf een 'open' netwerk, zoals een school? Zal ik dan ook de e-mail adressen van andere profielen te zien krijgen?

De volgende optie 'wachtwoord vergeten':
Vul hieronder je nickname in. Er wordt dan naar het bijbehorende e-mailadres een e-mail gestuurd met je wachtwoord.
Nu hoop ik toch echt dat ze een e-mail sturen met een methode om het wachtwoord opnieuw in te stellen, of desnoods (liever niet, eigenlijk) direct een nieuw wachtwoord. Ze gaan toch niet vertellen dat de wachtwoorden onversleuteld zijn opgeslagen?

Waarschijnlijk zal de beveiliging niet eens zo heel veel schelen in vergelijking met andere websites. Maar toch, deze sla ik over. Iemand nog een paar vrienden hebben?

Tot slot de disclaimer in de e-mail.
De informatie verzonden met dit e-mail bericht is uitsluitend bestemd voor de geadresseerde. Zij kan van vertrouwelijke aard zijn en/of persoonlijke standpunten bevatten die niet noodzakelijk met die van <site> stroken. Gebruik van deze informatie door anderen dan de geadresseerde is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan. <site> staat niet in voor juiste en volledige overbrenging van de inhoud van een verzonden e-mail, noch voor tijdige ontvangst daarvan.
Oei, ik heb de disclaimer gepubliceerd. Ben ik nu in overtreding?

Volgende: Valideren kun je leren 06-'09 Valideren kun je leren

Reacties


Door Tweakers user AndriesLouw, zaterdag 21 februari 2009 14:05

Ik snap "Geen van de zes, die volgens de e-mail en de registratiepagina overigens met z'n tweeen zijn" niet geheel, zijn het nu 2 vrienden die samen 6 uitnodigingen hebben verzonden, of hoe moet ik het lezen?

Door Tweakers user EdwinG, zaterdag 21 februari 2009 14:09

Daar ben ik zelf ook nog niet helemaal achter. Het ontvangen e-mail bericht spreekt over 6 vrienden. De registratie-url, voorzien van een 'uniek' ID toont echter maar twee personen die mij toe willen voegen. Wie de overige vier zijn, als die er zijn, is niet duidelijk. (Misschien wel na registratie, maar dat heb ik niet gedaan).

Door Tweakers user ViperNL, zaterdag 21 februari 2009 14:19

Heb je door het klikken op die link met die unieke id niet zojuist aan hun bevestigd dat jou e-mail adres echt is zodat ze je verder kunnen spammen?

Door Tweakers user EdwinG, zaterdag 21 februari 2009 14:26

Dat risico is natuurlijk aanwezig. Echter, het e-mail adres is toch al bij hun bekend (ze hebben er immers berichten heengestuurd), dus of het veel uitmaakt dat deze 'bevestigd' wordt weet ik niet. Gelukkig ging het hier om een hotmail account die ik eigenlijk niet meer serieus gebruik. Een beetje spam daarheen kan geen kwaad.

Door Tweakers user siepeltjuh, zaterdag 21 februari 2009 17:23

Haha, de teksten herken ik direct, b2g ofzo was die site, ik heb er ook mail van gehad, nooit op gezet, totaal onbekenden willen me toevoegen.
Ik weet 100% zeker never nooit niet zo`n profiela angemaakt te hebben.

Kortom het is rechtstreekse spam rotzooi om te achterhalen wat voor data ze van je kunnen ophalen en deze later te kunnen verkopen.

Door Tweakers user Scott, zondag 22 februari 2009 08:30

Ik vind het al dapper dat je klikte op de link in het emailbericht, dat is bijna vragen om spam...

Door Tweakers user bonzz.netninja, zondag 22 februari 2009 10:58

Heb je door het klikken op die link met die unieke id niet zojuist aan hun bevestigd dat jou e-mail adres echt is zodat ze je verder kunnen spammen?
da's een urban myth.

Door Tweakers user AndriesLouw, maandag 23 februari 2009 14:26

@bonzz.netninja:
Nee, dat is het niet, en ik kan het weten. Ik werk mee aan systemen voor bedrijven die reclame-mail verzenden (dubbel opt-in via een formulier, en bevestiging via e-mail, dus geen spam), en daar gebruiken we het klikken op een link in elke nieuwsbrief o.a. om te bevestigen dat iemand het mailtje heeft gelezen (en voor click-through rate etc).

De andere methode is een afbeelding van 1 bij 1 px ergens in de mail verstoppen, en zodra die opgehaald wordt is bij ons ook bekend dat je die e-mail hebt geopend.

In ieder geval, als een gebruiker weinig e-mails "leest cq opent" volgens ons systeem, dan worden ze er automatisch uitgeworpen.

Dit soort systemen worden ongetwijfeld ook door de in deze blog vermelde website gebruikt. ;)

Reageren is niet meer mogelijk